Hide note comments made by deleted users
authorTom Hughes <tom@compton.nu>
Tue, 4 Sep 2018 21:22:13 +0000 (22:22 +0100)
committerTom Hughes <tom@compton.nu>
Tue, 4 Sep 2018 21:22:39 +0000 (22:22 +0100)
Fixes #1970

app/controllers/notes_controller.rb
app/models/note.rb
test/controllers/browse_controller_test.rb

index 9d156ea..94d0fdb 100644 (file)
@@ -328,11 +328,13 @@ class NotesController < ApplicationController
                    end
 
     if closed_since < 0
-      notes.where("status != 'hidden'")
+      notes.where.not(:status => "hidden")
     elsif closed_since > 0
-      notes.where("(status = 'open' OR (status = 'closed' AND closed_at > '#{Time.now - closed_since.days}'))")
+      notes.where(:status => "open")
+           .or(notes.where(:status => "closed")
+                    .where(notes.arel_table[:closed_at].gt(Time.now - closed_since.days)))
     else
-      notes.where("status = 'open'")
+      notes.where(:status => "open")
     end
   end
 
index b7f6928..d96addb 100644 (file)
@@ -21,7 +21,7 @@
 class Note < ActiveRecord::Base
   include GeoRecord
 
-  has_many :comments, -> { where(:visible => true).order(:created_at) }, :class_name => "NoteComment", :foreign_key => :note_id
+  has_many :comments, -> { left_joins(:author).where(:visible => true, :users => { :status => [nil, "active", "confirmed"] }).order(:created_at) }, :class_name => "NoteComment", :foreign_key => :note_id
 
   validates :id, :uniqueness => true, :presence => { :on => :update },
                  :numericality => { :on => :update, :integer_only => true }
@@ -31,8 +31,8 @@ class Note < ActiveRecord::Base
 
   validate :validate_position
 
-  scope :visible, -> { where("status != 'hidden'") }
-  scope :invisible, -> { where("status = 'hidden'") }
+  scope :visible, -> { where.not(:status => "hidden") }
+  scope :invisible, -> { where(:status => "hidden") }
 
   after_initialize :set_defaults
 
index 68345c6..230a74c 100644 (file)
@@ -126,6 +126,21 @@ class BrowseControllerTest < ActionController::TestCase
     assert_select "div.note-comments ul li", :count => 2
   end
 
+  def test_read_note_hidden_user_comment
+    hidden_user = create(:user, :status => "deleted")
+    note_with_hidden_user_comment = create(:note_with_comments, :comments_count => 2) do |note|
+      create(:note_comment, :note => note, :author => hidden_user)
+    end
+
+    browse_check "note", note_with_hidden_user_comment.id, "browse/note"
+    assert_select "div.note-comments ul li", :count => 1
+
+    session[:user] = create(:moderator_user).id
+
+    browse_check "note", note_with_hidden_user_comment.id, "browse/note"
+    assert_select "div.note-comments ul li", :count => 1
+  end
+
   ##
   #  Methods to check redaction.
   #