Equipe laje 241104 alterações semanais

controle/FuncionarioControle.php

@@ -850,6 +850,22 @@ public function alterarInfPessoal()
     public function alterarSenha()
     {
         extract($_REQUEST); 
+
+
+        $funcionarioDAO=new FuncionarioDAO();
+
+        if($id_pessoa != $_SESSION['id_pessoa']){
+            try{
+                if(!$funcionarioDAO->verificaAdm($_SESSION['id_pessoa'])){
+                    http_response_code(401);
+                    exit('Operação negada: O usuário logado não é o mesmo de que se deseja alterar a senha');
+                }
+            }catch(PDOException $e){
+                echo $e->getMessage();
+                exit();
+            }
+        }
+
         $nova_senha=hash('sha256', $nova_senha);
         if(isset($redir)){
             $page = $redir;
@@ -864,7 +880,6 @@ public function alterarSenha()
         }elseif ($verificacao==2) {
             header("Location: ".WWW."html/$page?verificacao=".$verificacao);
         }else{
-            $funcionarioDAO=new FuncionarioDAO();
             try {
                 $funcionarioDAO->alterarSenha($id_pessoa, $nova_senha);
                  $conexao =  mysqli_connect(DB_HOST,DB_USER,DB_PASSWORD,DB_NAME);

controle/control.php

@@ -3,26 +3,90 @@
 ini_set('display_errors', 1);
 ini_set('display_startup_erros', 1);
 error_reporting(E_ALL);
+session_start();
 
-function processaRequisicao($nomeClasse, $metodo, $modulo = null){
+function processaRequisicao($nomeClasse, $metodo, $modulo = null)
+{
 	if ($nomeClasse && $metodo) {
-        if ($modulo) {
-            include_once $modulo . "/" . $nomeClasse . ".php";
-        } else {
-            include_once $nomeClasse . ".php";
-        }
-
-        // Cria uma instância da classe e chama o método
-        $objeto = new $nomeClasse();
-        $objeto->$metodo();
-    } else {
-        // Responde com erro se as variáveis necessárias não foram fornecidas
-        http_response_code(400);
-        exit('Classe ou método não fornecidos: '.'C = '.$nomeClasse.'M = '.$metodo);
-    }
+
+		//Pessoas não autenticadas não devem ter acesso as funcionalidades do control.php
+		if (!isset($_SESSION['id_pessoa'])) {
+			http_response_code(401);
+			exit('Operação negada: Cliente não autorizado');
+		}
+
+		//Controladoras permitidas
+		$controladorasRecursos = [
+			'AlmoxarifadoControle' => [2, 21, 22, 23, 24, 91],
+			'AlmoxarifeControle' => [91],
+			'Atendido_ocorrenciaControle' => [12],
+			'Atendido_ocorrenciaDocControle' => [12],
+			'AtendidoControle' => [12],
+			'AvisoControle' => [5],
+			'AvisoNotificacaoControle' => [5],
+			'CargoControle' => [11],
+			'CategoriaControle' => [21, 2],
+			'DestinoControle' => [21, 2],
+			'DocumentoControle' => [5],
+			'EnderecoControle' => [9, 12],
+			'EntradaControle' => [23],
+			'EstoqueControle' => [22],
+			'FuncionarioControle' => [11, 91],
+			'IentradaControle' => [23],
+			'InternoControle' => [],
+			'IsaidaControle' => [24],
+			'ModuloControle' => [91],
+			'OrigemControle' => [23],
+			'ProdutoControle' => [22, 23, 24],
+			'QuadroHorarioControle' => [11],
+			'SaidaControle' => [22, 24],
+			'SaudeControle' => [5, 12],
+			'SinaisVitaisControle' => [5],
+			'TipoEntradaControle' => [23],
+			'TipoSaidaControle' => [22, 24],
+			'UnidadeControle' => [22],
+		];
+
+		/*Por padrão o control.php irá recusar qualquer controladora informada,
+		adicione as controladoras que serão permitidas a lista branca $controladorasRecursos*/
+		if (!array_key_exists($nomeClasse, $controladorasRecursos)) {
+			http_response_code(400);
+			echo json_encode(['erro' => 'Controladora inválida']);
+			exit();
+		}
+
+		//Método de alterar senha é de acesso universal para todos os logados no sistema
+		if ($metodo != 'alterarSenha') {
+			$path = __DIR__;
+			require_once($path . '/../dao/MiddlewareDAO.php');
+			$middleware = new MiddlewareDAO();
+
+			//Verifica se a pessoa possuí o recurso necessário para acessar a funcionalidade desejada
+			if (!$middleware->verificarPermissao($_SESSION['id_pessoa'], $nomeClasse, $controladorasRecursos)) {
+				http_response_code(401);
+				echo json_encode(['erro' => 'Acesso não autorizado']);
+				exit();
+			}
+		}
+
+		if ($modulo) {
+			include_once $modulo . "/" . $nomeClasse . ".php";
+		} else {
+			include_once $nomeClasse . ".php";
+		}
+
+		// Cria uma instância da classe e chama o método
+		$objeto = new $nomeClasse();
+		$objeto->$metodo();
+	} else {
+		// Responde com erro se as variáveis necessárias não foram fornecidas
+		http_response_code(400);
+		echo json_encode(['erro' => 'O método e a controladora não podem ser vazios']);
+		exit();
+	}
 }
 
-if (isset($_SERVER['CONTENT_TYPE']) && strpos($_SERVER['CONTENT_TYPE'], 'application/json') !==false) {
+if (isset($_SERVER['CONTENT_TYPE']) && strpos($_SERVER['CONTENT_TYPE'], 'application/json') !== false) {
 	// Recebe o JSON da requisição
 	$json = file_get_contents('php://input');
 	// Decodifica o JSON
@@ -43,4 +107,4 @@ function processaRequisicao($nomeClasse, $metodo, $modulo = null){
 
 	// Processa a requisição
 	processaRequisicao($nomeClasse, $metodo, $modulo);
-}
+}

dao/FuncionarioDAO.php

@@ -15,6 +15,24 @@
 
 class FuncionarioDAO
 {
+
+    public function verificaAdm($id){
+        $pdo = Conexao::connect();
+
+        $buscaAdm = 'SELECT * FROM pessoa WHERE id_pessoa=:id AND adm_configurado=1';
+
+        $stmt = $pdo->prepare($buscaAdm);
+        $stmt->bindParam(':id', $id);
+
+        $stmt->execute();
+
+        if($stmt->rowCount() == 1){
+            return true;
+        }
+
+        return false;
+    }
+
     public function retornarIdPessoa($id_funcionario)
     {
         try {

dao/MiddlewareDAO.php

@@ -0,0 +1,49 @@
+<?php
+
+require_once '../dao/Conexao.php';
+
+class MiddlewareDAO{
+
+    private $pdo;
+
+    public function __construct()
+    {
+        $this->pdo = Conexao::connect();
+    }
+
+    public function verificarPermissao($idPessoa, $controladora, $controladorasRecursos):bool{
+
+        $permissao = false;
+
+        //print_r($controladorasRecursos);
+        //echo $controladora;
+
+        $controladoraRecursos = $controladorasRecursos[$controladora];
+
+        //print_r($controladoraRecursos);exit;
+
+        $sqlCargo = 'SELECT id_cargo FROM funcionario WHERE id_pessoa=:idPessoa';
+        $stmtCargo = $this->pdo->prepare($sqlCargo);
+        $stmtCargo->bindParam(':idPessoa', $idPessoa);
+
+        $stmtCargo->execute();
+
+        $idCargo = $stmtCargo->fetch(PDO::FETCH_ASSOC)['id_cargo'];
+
+        foreach($controladoraRecursos as $recurso){
+            $sqlRecurso = 'SELECT * FROM permissao WHERE id_cargo=:idCargo and id_recurso=:idRecurso';
+
+            $stmtRecurso = $this->pdo->prepare($sqlRecurso);
+            $stmtRecurso->bindParam(':idCargo', $idCargo);
+            $stmtRecurso->bindParam(':idRecurso', $recurso);
+
+            $stmtRecurso->execute();
+
+            if($stmtRecurso->rowCount() > 0){
+                $permissao = true;break;
+            }
+        }
+
+        return $permissao;
+    }
+}

html/apoio/controller/BrandController.php

@@ -0,0 +1,33 @@
+<?php
+require_once '../dao/ConexaoDAO.php';
+require_once '../dao/BrandDAO.php';
+require_once '../model/Brand.php';
+
+class BrandController
+{
+
+    private $pdo;
+
+    public function __construct()
+    {
+        try {
+            $this->pdo = ConexaoDAO::conectar();
+        } catch (PDOException $e) {
+            //implementar tratamento de erro
+            exit();
+        }
+    }
+
+    public function getBrand(): ?Brand
+    {
+        try {
+            $brandDao = new BrandDAO($this->pdo);
+            $brand = $brandDao->getBrand();
+
+            return $brand;
+        } catch (PDOException $e) {
+            //implementar tratamento de erro
+            exit("erro: {$e->getMessage()}");
+        }
+    }
+}