2 files changed, 24 insertions, 12 deletions
diff --git a/src/controller/ArticleController.php b/src/controller/ArticleController.php
index cb132cf..411c1dc 100644
--- a/src/controller/ArticleController.php
+++ b/src/controller/ArticleController.php
@@ -36,14 +36,19 @@ class ArticleController
                if($json['id'][0] === 'n') // ici $id est un bloc
                {
                        $section_id = (int)substr($id, 1); // id du bloc <section>
-                        if(!$director->findNodeById($section_id)){
+                        if(!$director->findNodeById($section_id)){ // erreur mauvais id
-                                echo json_encode(['success' => false, 'error' => 'article_not_saved']);
+                                echo json_encode(['success' => false, 'error' => 'article_not_saved, bad id']);
                                die;
                        }
                        $director->makeSectionNode();
                        $node = $director->getNode(); // = <section>
+                        
                        if(is_array($content)){ // cas d'une nouvelle "news"
+                                if($node->getPage()->getEndOfPath() !== $json['from']){ // erreur mauvais from
+                                        echo json_encode(['success' => false, 'error' => 'article_not_saved, bad from']);
+                                        die;
+                                }
                        $date = new \DateTime($content['d'] . ':' . (new \DateTime)->format('s')); // l'input type="datetime-local" ne donne pas les secondes, on les ajoute: 'hh:mm' . ':ss'
                        $article = new Article($content['i'], $date, $content['t'], $content['p']);
                        $article_node = new Node('new', [], count($node->getChildren()) + 1, $node, $node->getPage(), $article);
diff --git a/src/controller/ViewController.php b/src/controller/ViewController.php
index 668fa25..f66baff 100644
--- a/src/controller/ViewController.php
+++ b/src/controller/ViewController.php
@@ -33,17 +33,24 @@ class ViewController extends AbstractBuilder // ViewController est aussi le prem
        }
        // page article: mode création et erreurs d'id
-        if($_SESSION['admin'] && $request->query->has('page') && $request->query->get('page') === 'article'){
+        if($request->query->has('page') && $request->query->get('page') === 'article'){
-            if(!$request->query->has('id')){
+            if($_SESSION['admin']){
-                return new Response($this->html, 302);
+                if(!$request->query->has('id')){
-            }
-            else{
-                if($request->query->get('id')[0] === 'n'){ // mode création d'article (vérification de l'id du bloc dans ArticleController)
-                    NewBuilder::$new_article_mode = true;
-                }
-                elseif(self::$root_node->getNodeByName('main')->getAdoptedChild() === null){ // id inconnu
                    return new Response($this->html, 302);
                }
+                else{
+                    // mode création d'article
+                    // l'id du bloc et 'from=' sont vérifiés dans ArticleController::editorSubmit
+                    if($request->query->get('id')[0] === 'n' && $request->query->has('from') && !empty($request->query->get('from'))){
+                        NewBuilder::$new_article_mode = true;
+                    }
+                    elseif(self::$root_node->getNodeByName('main')->getAdoptedChild() === null){ // id inconnu
+                        return new Response($this->html, 302);
+                    }
+                }
+            }
+            elseif($request->query->get('id')[0] === 'n'){ // accès page nouvelle article interdit sans être admin
+                return new Response($this->html, 302);
            }
        }