]> git.openstreetmap.org Git - rails.git/blobdiff - app/controllers/user_roles_controller.rb
Turn on mass assignment protection
[rails.git] / app / controllers / user_roles_controller.rb
index 51106866efed9dc65785375027aa3b269353e068..54dc90dee911e7f62d9a36d48f0250380c4f0673 100644 (file)
@@ -11,7 +11,9 @@ class UserRolesController < ApplicationController
   around_filter :setup_nonce
 
   def grant
-    @this_user.roles.create(:role => @role, :granter_id => @user.id)
+    @this_user.roles.create({
+      :role => @role, :granter_id => @user.id
+    }, :without_protection => true)
     redirect_to :controller => 'user', :action => 'view', :display_name => @this_user.display_name
   end
 
@@ -23,7 +25,7 @@ class UserRolesController < ApplicationController
   private
   def require_administrator
     unless @user.administrator?
-      flash[:notice] = t'user_role.filter.not_an_administrator'
+      flash[:error] = t'user_role.filter.not_an_administrator'
       redirect_to :controller => 'user', :action => 'view', :display_name => @this_user.display_name
     end
   end
@@ -58,7 +60,7 @@ class UserRolesController < ApplicationController
   def require_valid_role
     @role = params[:role]
     unless UserRole::ALL_ROLES.include?(@role)
-      flash[:notice] = t('user_role.filter.not_a_role', :role => @role)
+      flash[:error] = t('user_role.filter.not_a_role', :role => @role)
       redirect_to :controller => 'user', :action => 'view', :display_name => @this_user.display_name
     end
   end
@@ -67,16 +69,16 @@ class UserRolesController < ApplicationController
   # checks that the user doesn't already have this role
   def not_in_role
     if @this_user.has_role? @role
-      flash[:notice] = t('user_role.filter.already_has_role', :role => @role)
+      flash[:error] = t('user_role.filter.already_has_role', :role => @role)
       redirect_to :controller => 'user', :action => 'view', :display_name => @this_user.display_name
     end
   end
 
   ##
-  # checks that the user doesn't already have this role
+  # checks that the user already has this role
   def in_role
     unless @this_user.has_role? @role
-      flash[:notice] = t('user_role.filter.doesnt_have_role', :role => @role)
+      flash[:error] = t('user_role.filter.doesnt_have_role', :role => @role)
       redirect_to :controller => 'user', :action => 'view', :display_name => @this_user.display_name
     end
   end