Corrigindo Issue [#243]

LabRedesCefetRJ · Oct 31, 2024 · 6decdc7 · 6decdc7
1 parent b61623a
commit 6decdc7
Showing 1 changed file with 40 additions and 32 deletions.
diff --git a/html/saude/cadastro_ficha_medica.php b/html/saude/cadastro_ficha_medica.php
@@ -1,55 +1,63 @@
 <?php
 
-ini_set('display_errors',1);
-ini_set('display_startup_erros',1);
+ini_set('display_errors', 1);
+ini_set('display_startup_errors', 1);
 error_reporting(E_ALL);
-extract($_REQUEST);
 session_start();
 
-if(!isset($_SESSION['usuario'])){
-    header ("Location: ../index.php");
+if (!isset($_SESSION['usuario'])) {
+    header("Location: ../index.php");
+    exit();
 }
 
 $config_path = "config.php";
-if(file_exists($config_path)){
+if (file_exists($config_path)) {
     require_once($config_path);
-}else{
-    while(true){
+} else {
+    while (true) {
         $config_path = "../" . $config_path;
-        if(file_exists($config_path)) break;
+        if (file_exists($config_path)) break;
     }
     require_once($config_path);
 }
 
 require_once "../../dao/Conexao.php";
 $pdo = Conexao::connect();
 
-$conexao = mysqli_connect(DB_HOST, DB_USER, DB_PASSWORD, DB_NAME);
 $id_pessoa = $_SESSION['id_pessoa'];
-$resultado = mysqli_query($conexao, "SELECT * FROM funcionario WHERE id_pessoa=$id_pessoa");
-if(!is_null($resultado)){
-    $id_cargo = mysqli_fetch_array($resultado);
-    if(!is_null($id_cargo)){
-    $id_cargo = $id_cargo['id_cargo'];
+
+// Usando prepared statements para a primeira consulta
+$stmt = $pdo->prepare("SELECT id_cargo FROM funcionario WHERE id_pessoa = :id_pessoa");
+$stmt->bindParam(':id_pessoa', $id_pessoa, PDO::PARAM_INT);
+$stmt->execute();
+
+$id_cargo = $stmt->fetchColumn();
+
+if ($id_cargo !== false) {
+    // Usando prepared statements para a segunda consulta
+    $stmt = $pdo->prepare("
+        SELECT p.id_acao 
+        FROM permissao p 
+        JOIN acao a ON p.id_acao = a.id_acao 
+        JOIN recurso r ON p.id_recurso = r.id_recurso 
+        WHERE p.id_cargo = :id_cargo AND r.id_recurso = '51'
+    ");
+    $stmt->bindParam(':id_cargo', $id_cargo, PDO::PARAM_INT);
+    $stmt->execute();
+
+    $permissao = $stmt->fetchColumn();
+
+    if ($permissao === false || $permissao < 7) {
+        $msg = "Você não tem as permissões necessárias para essa página.";
+        header("Location: ../home.php?msg_c=" . urlencode($msg));
+        exit();
     }
-    $resultado = mysqli_query($conexao, "SELECT * FROM permissao p JOIN acao a ON(p.id_acao=a.id_acao) JOIN recurso r ON(p.id_recurso=r.id_recurso) WHERE id_cargo=$id_cargo AND r.id_recurso='51'");
-    if(!is_bool($resultado) and mysqli_num_rows($resultado)){
-    $permissao = mysqli_fetch_array($resultado);
-    if($permissao['id_acao'] < 7){
+} else {
     $msg = "Você não tem as permissões necessárias para essa página.";
-    header("Location: ../home.php?msg_c=$msg");
-    }
-    $permissao = $permissao['id_acao'];
-    }else{
-        $permissao = 1;
-        $msg = "Você não tem as permissões necessárias para essa página.";
-        header("Location: ../home.php?msg_c=$msg");
-    }	
-}else{
-    $permissao = 1;
-$msg = "Você não tem as permissões necessárias para essa página.";
-header("Location: ../home.php?msg_c=$msg");
-}	
+    header("Location: ../home.php?msg_c=" . urlencode($msg));
+    exit();
+}
+
 
 
 // caso paciente ser atendido //