]> projects.mako.cc - selectricity/blobdiff - app/controllers/quickvote_controller.rb
fix security issue
[selectricity] / app / controllers / quickvote_controller.rb
index 6886ca40e32f844469f50666d1c63ca130ed8874..cd16743fcc16e2095f46b1eff115c47f2cd51d39 100644 (file)
@@ -1,4 +1,23 @@
+# Selectricity: Voting Machinery for the Masses
+# Copyright (C) 2007, 2008 Benjamin Mako Hill <mako@atdot.cc>
+# Copyright (C) 2007 Massachusetts Institute of Technology
+#
+# This program is free software: you can redistribute it and/or modify
+# it under the terms of the GNU Affero General Public License as
+# published by the Free Software Foundation, either version 3 of the
+# License, or (at your option) any later version.
+#
+# This program is distributed in the hope that it will be useful, but
+# WITHOUT ANY WARRANTY; without even the implied warranty of
+# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the GNU
+# Affero General Public License for more details.
+#
+# You should have received a copy of the GNU Affero General Public
+# License along with this program.  If not, see
+# <http://www.gnu.org/licenses/>.
+
 class QuickvoteController < ApplicationController
+  helper :sparklines
   layout 'main'
   require_dependency "quick_voter"
   require_dependency "quick_vote"
@@ -25,10 +44,6 @@ class QuickvoteController < ApplicationController
 
     show_advanced ||= false
 
-    # render the sidebar
-    @sidebar_content = render_to_string(:partial => 'create_sidebar',
-      :locals => {:show_advanced => show_advanced})
-
     if params[:quickvote]
 
       # store the candidate grabbed through ajax and stored in flash
@@ -49,6 +64,9 @@ class QuickvoteController < ApplicationController
         @sidebar_content = ''
         render :action => 'success'
       else
+        # render the sidebar
+        @sidebar_content = render_to_string(:partial => 'create_sidebar',
+          :locals => {:show_advanced => show_advanced})
         flash.keep(:candidate_names)
       end 
 
@@ -58,6 +76,8 @@ class QuickvoteController < ApplicationController
       # candidate_names list in the flash
       flash.delete(:candidate_names) if flash.has_key?(:candidate_names)
       @quickvote = QuickVote.new
+      @sidebar_content = render_to_string(:partial => 'create_sidebar',
+        :locals => {:show_advanced => show_advanced})
     end
 
   end
@@ -75,7 +95,7 @@ class QuickvoteController < ApplicationController
       end
     end
     flash.keep(:candidate_names)
-    render_partial 'candidate_list'
+    render :partial => 'candidate_list'
   end
  
   #############################################################
@@ -114,11 +134,12 @@ class QuickvoteController < ApplicationController
              @voter.reload
       end
     else
-      redirect_to :controller => 'site'
+      redirect_to :controller => 'front'
     end
   end
 
   def confirm
+    
     # we need the election to verify that we have the right voter
     election = QuickVote.ident_to_quickvote(params[:ident])
 
@@ -126,7 +147,7 @@ class QuickvoteController < ApplicationController
     @voter = QuickVoter.find(:all,
       :conditions => ["session_id = ? and election_id = ?", 
                       session.session_id, election.id])[0]
-  
+   
     if not @voter
       # we have not seen this  voter before. something is wrong, try
       # again
@@ -138,18 +159,18 @@ class QuickvoteController < ApplicationController
       redirect_to quickvote_url( :ident => params[:ident] )
       
     else
+      
       # record the ip address for posterity
-      @voter.ipaddress = request.env["REMOTE_ADDR"]
+      @voter.ipaddress = request.env["HTTP_X_FORWARDED_FOR"]
       @voter.save
       
-      # save the time the vote was made for statistical use
-      @voter.vote.time = Time.now
-      
       # toggle the confirmation bit      
-      @voter.vote.confirm!
-     
-      @voter.reload
-      render :action => 'thanks'
+      if @voter.vote.confirm!
+        @voter.reload
+        render :action => 'thanks'
+      else
+        redirect_to :action => 'index'
+      end
     end
   end
  
@@ -159,26 +180,23 @@ class QuickvoteController < ApplicationController
     voter.destroy
     redirect_to quickvote_url( :ident => params[:ident] )
   end
-
-  def sort_candidates
-    @vote = Vote.find(params[:id])
-
-    @vote.rankings.each do |ranking|
-      ranking.rank = params['rankings-list'].index(ranking.candidate.id.to_s) + 1
-      ranking.save
-    end
-    render :nothing => true
-  end
                
-  def mapvoters
+  def list_voters
     @map = GMap.new("map_div_id") 
     @map.control_init(:large_map => true, :map_type => true) 
     center = nil
-
-    QuickVote.ident_to_quickvote(params[:id]).voters.each do |voter|
+    @election=QuickVote.ident_to_quickvote(params[:id])
+    @election.voters.each do |voter|
       next unless voter.ipaddress
 
-      location = GeoKit::Geocoders::IpGeocoder.geocode(voter.ipaddress)
+      location=nil
+      if Cache and location=Cache.get("GEO:#{voter.ipaddress}")
+      elsif Cache
+        location = GeoKit::Geocoders::IpGeocoder.geocode(voter.ipaddress)
+        Cache.set "GEO:#{voter.ipaddress}", location
+      else
+        location = GeoKit::Geocoders::IpGeocoder.geocode(voter.ipaddress)
+      end
       next unless location.lng and location.lat
 
       unless center
@@ -188,8 +206,7 @@ class QuickvoteController < ApplicationController
 
       marker = GMarker.new([location.lat,location.lng],
                            :title => "Voter",
-                           :info_window => (voter.ipaddress or "unknown") \
-                                           + "   " + voter.vote.votestring)
+                           :info_window => (voter.ipaddress or "unknown"))
       @map.overlay_init(marker)
     end
   end
@@ -202,7 +219,7 @@ class QuickvoteController < ApplicationController
   def results
     unless @election = QuickVote.ident_to_quickvote(params[:ident])
       flash[:notice] = "Cannot find quickvote #{params[:ident]}."
-      redirect_to :controller => 'site'
+      redirect_to :controller => 'front'
       return
     end
     if @election.viewable == 0 && @election.active == 1
@@ -211,6 +228,8 @@ class QuickvoteController < ApplicationController
     @results = @election.results
     @candidates = {}
     @election.candidates.each {|c| @candidates[c.id] = c}
+    @names = @election.names_by_id
+    @sidebar_content = render_to_string :partial => 'results_sidebar'
   end
   
   def my_quickvotes

Benjamin Mako Hill || Want to submit a patch?