Saude 241023

html/saude/enfermidade.php

@@ -58,9 +58,13 @@ public function setException($exception)
     // o excluir enfermidade é basicamente tornar o status da tabela inativo, por isso um update //
     function delete(){
         try {
+            $sql = "UPDATE saude_enfermidades SET status = 0 WHERE id_CID = ".$this->getid_CID()." ;";
             $pdo = Conexao::connect();
-            $query = $pdo->query("UPDATE saude_enfermidades SET status = 0 WHERE id_CID = ".$this->getid_CID()." ;");
-            $query = $query->fetch(PDO::FETCH_ASSOC);
+
+		    $stmt = $pdo->prepare($sql);
+            $stmt->execute();
+
+            $query = $stmt->fetch(PDO::FETCH_ASSOC);
         } catch (PDOException $e) {
             $this->setException("Houve um erro ao remover o documento do banco de dados: $e");
         }

html/saude/enfermidade_excluir.php

@@ -17,17 +17,26 @@
 require_once "enfermidade.php";
 
 extract($_GET);
+$id_fichamedica = isset($_GET['id_fichamedica']) ? $_GET['id_fichamedica'] : null;
 
 $en = new EnfermidadeSaude($id_doc);
 if (!$en->getException()){
     $en->delete();
 
-    $sql = "SELECT se.id_CID, se.data_diagnostico, se.status, stc.descricao FROM saude_enfermidades se JOIN saude_tabelacid stc ON se.id_CID = stc.id_CID WHERE status = 1 AND id_fichamedica =" . $_GET['id_fichamedica'] . ";";
-    $pdo = Conexao::connect();
-    $enfermidades = $pdo->query($sql);
-    $enfermidades = $enfermidades->fetchAll(PDO::FETCH_ASSOC);
-    $enfermidades = json_encode($enfermidades);
-    echo $enfermidades;
+    try{
+        $sql = "SELECT se.id_CID, se.data_diagnostico, se.status, stc.descricao FROM saude_enfermidades se JOIN saude_tabelacid stc ON se.id_CID = stc.id_CID WHERE status = 1 AND id_fichamedica = ? ;";
+
+        $pdo = Conexao::connect();
+        $stmt = $pdo->prepare($sql);
+        $stmt->bindParam(1, $id_fichamedica, PDO::PARAM_INT); // Bind do parâmetro
+        $stmt->execute();
+
+        $enfermidades = $stmt->fetchAll(PDO::FETCH_ASSOC);
+        $enfermidades = json_encode($enfermidades);
+        echo $enfermidades;
+    }catch(PDOException $e){
+        echo "Houve um erro ao realizar a exclusão da enfermidade:<br><br>" . htmlspecialchars($e->getMessage());
+    }
 }else{
     echo $en->getException();
 }

html/saude/enfermidade_upload.php

@@ -27,7 +27,8 @@
 
         header("Location: profile_paciente.php?id_fichamedica=$id_fichamedica");
     } catch (PDOException $e) {
-        echo("Houve um erro ao realizar o cadastro da enfermidade:<br><br>$e");
+        // Exibe mensagem de erro de forma segura
+        echo "Houve um erro ao realizar o cadastro da enfermidade:<br><br>" . htmlspecialchars($e->getMessage(), ENT_QUOTES, 'UTF-8');
     }
 
 

html/saude/exame_download.php

@@ -13,31 +13,66 @@
 require_once "exame.php";
 
 $conexao = mysqli_connect(DB_HOST, DB_USER, DB_PASSWORD, DB_NAME);
-$id_pessoa = $_SESSION['id_pessoa'];
-$resultado = mysqli_query($conexao, "SELECT * FROM funcionario WHERE id_pessoa=$id_pessoa");
+$id_pessoa = isset($_SESSION['id_pessoa']) ? $_SESSION['id_pessoa'] : null;
+try {
+    $stmt = $conexao->prepare("SELECT * FROM funcionario WHERE id_pessoa=?");
+
+    if (!$stmt) {
+    throw new Exception("Erro na preparação da consulta: " . $conexao->error);
+    }
+    $stmt->bind_param("i", $id_pessoa);
+    $stmt->execute();
+
+    $resultado = $stmt->get_result();
+
+    // Aqui você pode processar os resultados como necessário
+
+    $stmt->close();
+  } catch (PDOException $e) {
+    echo "Ocorreu um erro: " . $e->getMessage();
+  }
+
 if(!is_null($resultado)){
     $id_cargo = mysqli_fetch_array($resultado);
     if(!is_null($id_cargo)){
     $id_cargo = $id_cargo['id_cargo'];
     }
-    $resultado = mysqli_query($conexao, "SELECT * FROM permissao WHERE id_cargo=$id_cargo and id_recurso=5");
-    if(!is_bool($resultado) and mysqli_num_rows($resultado)){
-    $permissao = mysqli_fetch_array($resultado);
-    if($permissao['id_acao'] < 7){
-    $msg = "Você não tem as permissões necessárias para essa página.";
-    header("Location: ../home.php?msg_c=$msg");
-    }
-    $permissao = $permissao['id_acao'];
+
+    try {
+        $stmt = $conexao->prepare("SELECT * FROM permissao WHERE id_cargo = ? and id_recurso=5");
+
+        if (!$stmt) {
+        throw new Exception("Erro na preparação da consulta: " . $conexao->error);
+        }
+        $stmt->bind_param("i", $id_cargo);
+        $stmt->execute();
+
+        $resultado = $stmt->get_result();
+
+        // Aqui você pode processar os resultados como necessário
+
+        $stmt->close();
+      } catch (PDOException $e) {
+        echo "Ocorreu um erro: " . $e->getMessage();
+      }
+
+    if(!is_bool($resultado)){
+        $permissao = mysqli_fetch_array($resultado);
+        if($permissao['id_acao'] < 7){
+            $msg = "Você não tem as permissões necessárias para essa página.";
+            header("Location: ../home.php?msg_c=$msg");
+        }
+        $permissao = $permissao['id_acao'];
+        }else{
+            $permissao = 1;
+            $msg = "Você não tem as permissões necessárias para essa página.";
+            header("Location: ../home.php?msg_c=$msg");
+        }	
     }else{
         $permissao = 1;
         $msg = "Você não tem as permissões necessárias para essa página.";
         header("Location: ../home.php?msg_c=$msg");
     }	
-}else{
-    $permissao = 1;
-$msg = "Você não tem as permissões necessárias para essa página.";
-header("Location: ../home.php?msg_c=$msg");
-}	
 
 
 

html/saude/exame_excluir.php

@@ -17,16 +17,22 @@
 require_once "exame.php";
 
 extract($_GET);
+$id_fichamedica = isset($_GET['id_fichamedica']) ? $_GET['id_fichamedica'] : null;
 
 $arquivo = new ExameSaude($id_doc);
 if (!$arquivo->getException()){
     $arquivo->delete();
 
-    $sql = "SELECT se.id_exame, se.arquivo_nome, ada.descricao, se.`data` FROM saude_exames se JOIN saude_exame_tipos ada ON se.id_exame_tipos = ada.id_exame_tipo WHERE id_fichamedica =" . $_GET['id_fichamedica'] . ";";
+    $sql = "SELECT se.id_exame, se.arquivo_nome, ada.descricao, se.`data` FROM saude_exames se JOIN saude_exame_tipos ada ON se.id_exame_tipos = ada.id_exame_tipo WHERE id_fichamedica = ?;";
+
     $pdo = Conexao::connect();
-    $docfuncional = $pdo->query($sql);
-    $docfuncional = $docfuncional->fetchAll(PDO::FETCH_ASSOC);
+    $stmt = $pdo->prepare($sql);
+    $stmt->bindParam(1, $id_fichamedica, PDO::PARAM_INT); // Bind do parâmetro
+    $stmt->execute();
+
+    $docfuncional = $stmt->fetchAll(PDO::FETCH_ASSOC);
     $docfuncional = json_encode($docfuncional);
+
     echo $docfuncional;
 
 }else{

html/saude/exame_upload.php

@@ -1,49 +1,87 @@
-<pre>
 <?php
 
-ini_set('display_errors',1);
-ini_set('display_startup_erros',1);
+ini_set('display_errors', 1);
+ini_set('display_startup_errors', 1);
 error_reporting(E_ALL);
 
 session_start();
-extract($_REQUEST);
-if (!isset($_SESSION["usuario"])){
+if (!isset($_SESSION["usuario"])) {
     header("Location: ../../index.php");
+    exit();
 }
 
-if ($_POST){
+if ($_POST) {
     require_once "../../dao/Conexao.php";
 
-    var_dump($_POST);
     extract($_POST);
     $arquivo = $_FILES["arquivo"];
-    $arquivo_nome = $arquivo["name"];
-    $extensao_nome = explode(".", $arquivo["name"])[1];
-    $arquivo_b64 = base64_encode(file_get_contents($arquivo['tmp_name']));	 
 
+    // Verificação de erro no upload
+    if ($arquivo['error'] !== UPLOAD_ERR_OK) {
+        switch ($arquivo['error']) {
+            case UPLOAD_ERR_INI_SIZE:
+            case UPLOAD_ERR_FORM_SIZE:
+                $mensagem = "O arquivo é muito grande. O tamanho máximo permitido é de " . ini_get("upload_max_filesize") . ".";
+                break;
+            case UPLOAD_ERR_PARTIAL:
+                $mensagem = "O arquivo foi carregado parcialmente. Tente novamente.";
+                break;
+            case UPLOAD_ERR_NO_FILE:
+                $mensagem = "Nenhum arquivo foi enviado. Por favor, selecione um arquivo.";
+                break;
+            case UPLOAD_ERR_NO_TMP_DIR:
+                $mensagem = "Erro no servidor: Diretório temporário ausente.";
+                break;
+            case UPLOAD_ERR_CANT_WRITE:
+                $mensagem = "Erro no servidor: Falha ao gravar o arquivo no disco.";
+                break;
+            case UPLOAD_ERR_EXTENSION:
+                $mensagem = "Erro: Uma extensão do PHP bloqueou o upload do arquivo.";
+                break;
+            default:
+                $mensagem = "Erro desconhecido ao fazer o upload do arquivo.";
+                break;
+        }
+        echo htmlspecialchars($mensagem);
+        exit();
+    }
+
+    // Verificação da extensão do arquivo
+    $arquivo_nome = htmlspecialchars($arquivo["name"]);
+    $extensao_nome = strtolower(pathinfo($arquivo_nome, PATHINFO_EXTENSION));
+    $extensoes_permitidas = ['jpg', 'jpeg', 'png', 'pdf'];
+
+    if (!in_array($extensao_nome, $extensoes_permitidas)) {
+        echo "Formato de arquivo inválido. Apenas " . implode(", ", $extensoes_permitidas) . " são permitidos.";
+        exit();
+    }
+
+    $arquivo_b64 = base64_encode(file_get_contents($arquivo['tmp_name']));
+
     try {
         $pdo = Conexao::connect();
-        $prep = $pdo->prepare("INSERT INTO saude_exames(id_fichamedica, id_exame_tipos, data, arquivo_nome, arquivo_extensao,arquivo) VALUES ( :id_fichamedica, :id_exame_tipos, :data, :arquivo_nome , :arquivo_extensao, :arquivo )");
+        $prep = $pdo->prepare("INSERT INTO saude_exames(id_fichamedica, id_exame_tipos, data, arquivo_nome, arquivo_extensao, arquivo) VALUES (:id_fichamedica, :id_exame_tipos, :data, :arquivo_nome, :arquivo_extensao, :arquivo)");
+
+        // Sanitização dos dados
+        $id_fichamedica = htmlspecialchars($id_fichamedica);
+        $id_docfuncional = htmlspecialchars($id_docfuncional);
+        $dataExame = date('Y/m/d');
 
         $prep->bindValue(":id_fichamedica", $id_fichamedica);
         $prep->bindValue(":id_exame_tipos", $id_docfuncional);
         $prep->bindValue(":arquivo_nome", $arquivo_nome);
         $prep->bindValue(":arquivo_extensao", $extensao_nome);
         $prep->bindValue(":arquivo", gzcompress($arquivo_b64));
-
-        $dataExame = date('Y/m/d');
         $prep->bindValue(":data", $dataExame);
 
         $prep->execute();
-        
+
         header("Location: profile_paciente.php?id_fichamedica=$id_fichamedica");
+        exit();
     } catch (PDOException $e) {
-        echo("Houve um erro ao realizar o upload do exame:<br><br>$e");
+        echo "Houve um erro ao realizar o upload do exame:<br><br>" . htmlspecialchars($e->getMessage());
     }
-
-
-}else {
+} else {
     header("Location: profile_paciente.php");
+    exit();
 }
-
-