projects / koha.git / blobdiff
? search:
summary | shortlog | log | commit | commitdiff | tree
raw | inline | side by side
Bug 20489: Prevent DB user login
[koha.git] / members / mod_debarment.pl
diff --git a/members/mod_debarment.pl b/members/mod_debarment.pl
index 2bf637b..bc155e5 100755 (executable)
--- a/members/mod_debarment.pl
+++ b/members/mod_debarment.pl
@@ -27,11 +27,19 @@ use Koha::Patron::Debarments;
 
 my $cgi = new CGI;
 
-my ( $loggedinuser, $cookie, $sessionID ) = checkauth( $cgi, 0, { borrowers => 'edit_borrowers' }, 'intranet' );
+my ( $loggedinuserid, $cookie, $sessionID ) = checkauth( $cgi, 0, { borrowers => 'edit_borrowers' }, 'intranet' );
 
 my $borrowernumber = $cgi->param('borrowernumber');
 my $action         = $cgi->param('action');
 
+my $logged_in_user = Koha::Patrons->find( { userid => $loggedinuserid } ) or die "Not logged in";
+my $patron         = Koha::Patrons->find($borrowernumber);
+
+# Ideally we should display a warning on the interface if the patron is not allowed
+# to modify a debarment
+# But a librarian is not supposed to hack the system
+$action = '' unless $logged_in_user->can_see_patron_infos( $patron );
+
 if ( $action eq 'del' ) {
     DelDebarment( scalar $cgi->param('borrower_debarment_id') );
 } elsif ( $action eq 'add' ) {
Koha ILS @ FFZG - based on git://git.koha.org/pub/scm/koha.git