WebContextMenuClient::fixMenuReceivedFromOldSafari is no longer needed on Windows
[WebKit-https.git] / BugsSite / editgroups.cgi
index bc7806d..06391a8 100755 (executable)
@@ -1,4 +1,4 @@
-#!/usr/bin/perl -wT
+#!/usr/bin/env perl -wT
 # -*- Mode: perl; indent-tabs-mode: nil -*-
 #
 # The contents of this file are subject to the Mozilla Public
 #                 Vlad Dascalu <jocuri@softhome.net>
 #                 Frédéric Buclin <LpSolit@gmail.com>
 
-# Code derived from editowners.cgi and editusers.cgi
-
 use strict;
-use lib ".";
+use lib qw(. lib);
 
 use Bugzilla;
 use Bugzilla::Constants;
+use Bugzilla::Config qw(:admin);
+use Bugzilla::Util;
+use Bugzilla::Error;
+use Bugzilla::Group;
+use Bugzilla::Product;
 use Bugzilla::User;
-require "CGI.pl";
+use Bugzilla::Token;
+
+use constant SPECIAL_GROUPS => ('chartgroup', 'insidergroup',
+                                'timetrackinggroup', 'querysharegroup');
 
 my $cgi = Bugzilla->cgi;
 my $dbh = Bugzilla->dbh;
+my $template = Bugzilla->template;
+my $vars = {};
 
-use vars qw($template $vars);
-
-Bugzilla->login(LOGIN_REQUIRED);
+my $user = Bugzilla->login(LOGIN_REQUIRED);
 
-print Bugzilla->cgi->header();
+print $cgi->header();
 
-UserInGroup("creategroups")
+$user->in_group('creategroups')
   || ThrowUserError("auth_failure", {group  => "creategroups",
                                      action => "edit",
                                      object => "groups"});
 
 my $action = trim($cgi->param('action') || '');
-
-# RederiveRegexp: update user_group_map with regexp-based grants
-sub RederiveRegexp ($$)
-{
-    my $regexp = shift;
-    my $gid = shift;
-    my $dbh = Bugzilla->dbh;
-    my $sth = $dbh->prepare("SELECT userid, login_name FROM profiles");
-    my $sthqry = $dbh->prepare("SELECT 1 FROM user_group_map
-                                 WHERE user_id = ? AND group_id = ?
-                                 AND grant_type = ? and isbless = 0");
-    my $sthadd = $dbh->prepare("INSERT INTO user_group_map
-                                 (user_id, group_id, grant_type, isbless)
-                                 VALUES (?, ?, ?, 0)");
-    my $sthdel = $dbh->prepare("DELETE FROM user_group_map
-                                 WHERE user_id = ? AND group_id = ?
-                                 AND grant_type = ? and isbless = 0");
-    $sth->execute();
-    while (my ($uid, $login) = $sth->fetchrow_array()) {
-        my $present = $dbh->selectrow_array($sthqry, undef,
-                                            $uid, $gid, GRANT_REGEXP);
-        if (($regexp =~ /\S+/) && ($login =~ m/$regexp/i))
-        {
-            $sthadd->execute($uid, $gid, GRANT_REGEXP) unless $present;
-        } else {
-            $sthdel->execute($uid, $gid, GRANT_REGEXP) if $present;
-        }
-    }
-}
-
-# Add missing entries in bug_group_map for bugs created while
-# a mandatory group was disabled and which is now enabled again.
-sub fix_bug_permissions {
-    my $gid = shift;
-    my $dbh = Bugzilla->dbh;
-
-    detaint_natural($gid);
-    return unless $gid;
-
-    my $bug_ids =
-      $dbh->selectcol_arrayref('SELECT bugs.bug_id
-                                  FROM bugs
-                            INNER JOIN group_control_map
-                                    ON group_control_map.product_id = bugs.product_id
-                             LEFT JOIN bug_group_map
-                                    ON bug_group_map.bug_id = bugs.bug_id
-                                   AND bug_group_map.group_id = group_control_map.group_id
-                                 WHERE group_control_map.group_id = ?
-                                   AND group_control_map.membercontrol = ?
-                                   AND bug_group_map.group_id IS NULL',
-                                 undef, ($gid, CONTROLMAPMANDATORY));
-
-    my $sth = $dbh->prepare('INSERT INTO bug_group_map (bug_id, group_id) VALUES (?, ?)');
-    foreach my $bug_id (@$bug_ids) {
-        $sth->execute($bug_id, $gid);
-    }
-}
+my $token  = $cgi->param('token');
 
 # CheckGroupID checks that a positive integer is given and is
 # actually a valid group ID. If all tests are successful, the
@@ -170,35 +120,75 @@ sub CheckGroupRegexp {
     return $regexp;
 }
 
-# If no action is specified, get a list of all groups available.
+# A helper for displaying the edit.html.tmpl template.
+sub get_current_and_available {
+    my ($group, $vars) = @_;
+
+    my @all_groups         = Bugzilla::Group->get_all;
+    my @members_current    = @{$group->grant_direct(GROUP_MEMBERSHIP)};
+    my @member_of_current  = @{$group->granted_by_direct(GROUP_MEMBERSHIP)};
+    my @bless_from_current = @{$group->grant_direct(GROUP_BLESS)};
+    my @bless_to_current   = @{$group->granted_by_direct(GROUP_BLESS)};
+    my (@visible_from_current, @visible_to_me_current);
+    if (Bugzilla->params->{'usevisibilitygroups'}) {
+        @visible_from_current  = @{$group->grant_direct(GROUP_VISIBLE)};
+        @visible_to_me_current = @{$group->granted_by_direct(GROUP_VISIBLE)};
+    }
 
-unless ($action) {
-    my @groups;
-
-    SendSQL("SELECT id,name,description,userregexp,isactive,isbuggroup " .
-            "FROM groups " .
-            "ORDER BY isbuggroup, name");
-
-    while (MoreSQLData()) {
-        my ($id, $name, $description, $regexp, $isactive, $isbuggroup)
-            = FetchSQLData();
-        my $group = {};
-        $group->{'id'}          = $id;
-        $group->{'name'}        = $name;
-        $group->{'description'} = $description;
-        $group->{'regexp'}      = $regexp;
-        $group->{'isactive'}    = $isactive;
-        $group->{'isbuggroup'}  = $isbuggroup;
-
-        push(@groups, $group);
+    # Figure out what groups are not currently a member of this group,
+    # and what groups this group is not currently a member of.
+    my (@members_available, @member_of_available,
+        @bless_from_available, @bless_to_available,
+        @visible_from_available, @visible_to_me_available);
+    foreach my $group_option (@all_groups) {
+        if (Bugzilla->params->{'usevisibilitygroups'}) {
+            push(@visible_from_available, $group_option)
+                if !grep($_->id == $group_option->id, @visible_from_current);
+            push(@visible_to_me_available, $group_option)
+                if !grep($_->id == $group_option->id, @visible_to_me_current);
+        }
+
+        # The group itself should never show up in the bless or 
+        # membership lists.
+        next if $group_option->id == $group->id;
+
+        push(@members_available, $group_option)
+            if !grep($_->id == $group_option->id, @members_current);
+        push(@member_of_available, $group_option)
+            if !grep($_->id == $group_option->id, @member_of_current);
+        push(@bless_from_available, $group_option)
+            if !grep($_->id == $group_option->id, @bless_from_current);
+        push(@bless_to_available, $group_option)
+           if !grep($_->id == $group_option->id, @bless_to_current);
     }
 
+    $vars->{'members_current'}     = \@members_current;
+    $vars->{'members_available'}   = \@members_available;
+    $vars->{'member_of_current'}   = \@member_of_current;
+    $vars->{'member_of_available'} = \@member_of_available;
+
+    $vars->{'bless_from_current'}   = \@bless_from_current;
+    $vars->{'bless_from_available'} = \@bless_from_available;
+    $vars->{'bless_to_current'}     = \@bless_to_current;
+    $vars->{'bless_to_available'}   = \@bless_to_available;
+
+    if (Bugzilla->params->{'usevisibilitygroups'}) {
+        $vars->{'visible_from_current'}    = \@visible_from_current;
+        $vars->{'visible_from_available'}  = \@visible_from_available;
+        $vars->{'visible_to_me_current'}   = \@visible_to_me_current;
+        $vars->{'visible_to_me_available'} = \@visible_to_me_available;
+    }
+}
+
+# If no action is specified, get a list of all groups available.
+
+unless ($action) {
+    my @groups = Bugzilla::Group->get_all;
     $vars->{'groups'} = \@groups;
     
-    print Bugzilla->cgi->header();
+    print $cgi->header();
     $template->process("admin/groups/list.html.tmpl", $vars)
       || ThrowTemplateError($template->error());
-
     exit;
 }
 
@@ -211,59 +201,13 @@ unless ($action) {
 if ($action eq 'changeform') {
     # Check that an existing group ID is given
     my $group_id = CheckGroupID($cgi->param('group'));
-    my ($name, $description, $regexp, $isactive, $isbuggroup) =
-        $dbh->selectrow_array("SELECT name, description, userregexp, " .
-                              "isactive, isbuggroup " .
-                              "FROM groups WHERE id = ?", undef, $group_id);
-
-    # For each group, we use left joins to establish the existence of
-    # a record making that group a member of this group
-    # and the existence of a record permitting that group to bless
-    # this one
-
-    my @groups;
-    SendSQL("SELECT groups.id, groups.name, groups.description," .
-             " CASE WHEN group_group_map.member_id IS NOT NULL THEN 1 ELSE 0 END," .
-             " CASE WHEN B.member_id IS NOT NULL THEN 1 ELSE 0 END," .
-             " CASE WHEN C.member_id IS NOT NULL THEN 1 ELSE 0 END" .
-             " FROM groups" .
-             " LEFT JOIN group_group_map" .
-             " ON group_group_map.member_id = groups.id" .
-             " AND group_group_map.grantor_id = $group_id" .
-             " AND group_group_map.grant_type = " . GROUP_MEMBERSHIP .
-             " LEFT JOIN group_group_map as B" .
-             " ON B.member_id = groups.id" .
-             " AND B.grantor_id = $group_id" .
-             " AND B.grant_type = " . GROUP_BLESS .
-             " LEFT JOIN group_group_map as C" .
-             " ON C.member_id = groups.id" .
-             " AND C.grantor_id = $group_id" .
-             " AND C.grant_type = " . GROUP_VISIBLE .
-             " ORDER by name");
-
-    while (MoreSQLData()) {
-        my ($grpid, $grpnam, $grpdesc, $grpmember, $blessmember, $membercansee) 
-            = FetchSQLData();
-
-        my $group = {};
-        $group->{'grpid'}       = $grpid;
-        $group->{'grpnam'}      = $grpnam;
-        $group->{'grpdesc'}     = $grpdesc;
-        $group->{'grpmember'}   = $grpmember;
-        $group->{'blessmember'} = $blessmember;
-        $group->{'membercansee'}= $membercansee;
-        push(@groups, $group);
-    }
+    my $group = new Bugzilla::Group($group_id);
 
-    $vars->{'group_id'}    = $group_id;
-    $vars->{'name'}        = $name;
-    $vars->{'description'} = $description;
-    $vars->{'regexp'}      = $regexp;
-    $vars->{'isactive'}    = $isactive;
-    $vars->{'isbuggroup'}  = $isbuggroup;
-    $vars->{'groups'}      = \@groups;
+    get_current_and_available($group, $vars);
+    $vars->{'group'} = $group;
+    $vars->{'token'}       = issue_session_token('edit_group');
 
-    print Bugzilla->cgi->header();
+    print $cgi->header();
     $template->process("admin/groups/edit.html.tmpl", $vars)
       || ThrowTemplateError($template->error());
 
@@ -277,7 +221,8 @@ if ($action eq 'changeform') {
 #
 
 if ($action eq 'add') {
-    print Bugzilla->cgi->header();
+    $vars->{'token'} = issue_session_token('add_group');
+    print $cgi->header();
     $template->process("admin/groups/create.html.tmpl", $vars)
       || ThrowTemplateError($template->error());
     
@@ -291,6 +236,7 @@ if ($action eq 'add') {
 #
 
 if ($action eq 'new') {
+    check_token_data($token, 'add_group');
     # Check that a not already used group name is given, that
     # a description is also given and check if the regular
     # expression is valid (if any).
@@ -298,40 +244,49 @@ if ($action eq 'new') {
     my $desc = CheckGroupDesc($cgi->param('desc'));
     my $regexp = CheckGroupRegexp($cgi->param('regexp'));
     my $isactive = $cgi->param('isactive') ? 1 : 0;
+    # This is an admin page. The URL is considered safe.
+    my $icon_url;
+    if ($cgi->param('icon_url')) {
+        $icon_url = clean_text($cgi->param('icon_url'));
+        trick_taint($icon_url);
+    }
 
     # Add the new group
-    SendSQL("INSERT INTO groups ( " .
-            "name, description, isbuggroup, userregexp, isactive, last_changed " .
-            " ) VALUES ( " .
-            SqlQuote($name) . ", " .
-            SqlQuote($desc) . ", " .
-            "1," .
-            SqlQuote($regexp) . ", " . 
-            $isactive . ", NOW())" );
-    my $gid = $dbh->bz_last_key('groups', 'id');
-    my $admin = GroupNameToId('admin');
+    $dbh->do('INSERT INTO groups
+              (name, description, isbuggroup, userregexp, isactive, icon_url)
+              VALUES (?, ?, 1, ?, ?, ?)',
+              undef, ($name, $desc, $regexp, $isactive, $icon_url));
+
+    my $group = new Bugzilla::Group({name => $name});
+    my $admin = Bugzilla::Group->new({name => 'admin'})->id();
     # Since we created a new group, give the "admin" group all privileges
     # initially.
-    SendSQL("INSERT INTO group_group_map (member_id, grantor_id, grant_type)
-             VALUES ($admin, $gid, " . GROUP_MEMBERSHIP . ")");
-    SendSQL("INSERT INTO group_group_map (member_id, grantor_id, grant_type)
-             VALUES ($admin, $gid, " . GROUP_BLESS . ")");
-    SendSQL("INSERT INTO group_group_map (member_id, grantor_id, grant_type)
-             VALUES ($admin, $gid, " . GROUP_VISIBLE . ")");
+    my $sth = $dbh->prepare('INSERT INTO group_group_map
+                             (member_id, grantor_id, grant_type)
+                             VALUES (?, ?, ?)');
+
+    $sth->execute($admin, $group->id, GROUP_MEMBERSHIP);
+    $sth->execute($admin, $group->id, GROUP_BLESS);
+    $sth->execute($admin, $group->id, GROUP_VISIBLE);
+
     # Permit all existing products to use the new group if makeproductgroups.
     if ($cgi->param('insertnew')) {
-        SendSQL("INSERT INTO group_control_map " .
-                "(group_id, product_id, entry, membercontrol, " .
-                "othercontrol, canedit) " .
-                "SELECT $gid, products.id, 0, " .
-                CONTROLMAPSHOWN . ", " .
-                CONTROLMAPNA . ", 0 " .
-                "FROM products");
+        $dbh->do('INSERT INTO group_control_map
+                  (group_id, product_id, entry, membercontrol,
+                   othercontrol, canedit)
+                  SELECT ?, products.id, 0, ?, ?, 0 FROM products',
+                  undef, ($group->id, CONTROLMAPSHOWN, CONTROLMAPNA));
     }
-    RederiveRegexp($regexp, $gid);
+    Bugzilla::Group::RederiveRegexp($regexp, $group->id);
+    delete_token($token);
+
+    $vars->{'message'} = 'group_created';
+    $vars->{'group'} = $group;
+    get_current_and_available($group, $vars);
+    $vars->{'token'} = issue_session_token('edit_group');
 
-    print Bugzilla->cgi->header();
-    $template->process("admin/groups/created.html.tmpl", $vars)
+    print $cgi->header();
+    $template->process("admin/groups/edit.html.tmpl", $vars)
       || ThrowTemplateError($template->error());
     exit;
 }
@@ -353,50 +308,57 @@ if ($action eq 'del') {
     if (!$isbuggroup) {
         ThrowUserError("system_group_not_deletable", { name => $name });
     }
-
-    my $hasusers = 0;
-    SendSQL("SELECT user_id FROM user_group_map 
-             WHERE group_id = $gid AND isbless = 0");
-    if (FetchOneColumn()) {
-        $hasusers = 1;
-    }
-
-    my $hasbugs = 0;
-    my $buglist = "0";
-    SendSQL("SELECT bug_id FROM bug_group_map WHERE group_id = $gid");
-
-    if (MoreSQLData()) {
-        $hasbugs = 1;
-
-        while (MoreSQLData()) {
-            my ($bug) = FetchSQLData();
-            $buglist .= "," . $bug;
+    # Groups having a special role cannot be deleted.
+    my @special_groups;
+    foreach my $special_group (SPECIAL_GROUPS) {
+        if ($name eq Bugzilla->params->{$special_group}) {
+            push(@special_groups, $special_group);
         }
     }
-
-    my $hasproduct = 0;
-    SendSQL("SELECT name FROM products WHERE name=" . SqlQuote($name));
-    if (MoreSQLData()) {
-        $hasproduct = 1;
-    }
-
-    my $hasflags = 0;
-    SendSQL("SELECT id FROM flagtypes 
-             WHERE grant_group_id = $gid OR request_group_id = $gid");
-    if (FetchOneColumn()) {
-        $hasflags = 1;
+    if (scalar(@special_groups)) {
+        ThrowUserError('group_has_special_role', {'name'  => $name,
+                                                  'groups' => \@special_groups});
     }
 
-    $vars->{'gid'}         = $gid;
-    $vars->{'name'}        = $name;
-    $vars->{'description'} = $desc;
-    $vars->{'hasusers'}    = $hasusers;
-    $vars->{'hasbugs'}     = $hasbugs;
-    $vars->{'hasproduct'}  = $hasproduct;
-    $vars->{'hasflags'}    = $hasflags;
-    $vars->{'buglist'}     = $buglist;
-
-    print Bugzilla->cgi->header();
+    # Group inheritance no longer appears in user_group_map.
+    my $grouplist = join(',', @{Bugzilla::User->flatten_group_membership($gid)});
+    my $hasusers =
+        $dbh->selectrow_array("SELECT 1 FROM user_group_map
+                               WHERE group_id IN ($grouplist) AND isbless = 0 " .
+                               $dbh->sql_limit(1)) || 0;
+
+    my ($shared_queries) =
+        $dbh->selectrow_array('SELECT COUNT(*)
+                                 FROM namedquery_group_map
+                                WHERE group_id = ?',
+                              undef, $gid);
+
+    my $bug_ids = $dbh->selectcol_arrayref('SELECT bug_id FROM bug_group_map
+                                            WHERE group_id = ?', undef, $gid);
+
+    my $hasbugs = scalar(@$bug_ids) ? 1 : 0;
+    my $buglist = join(',', @$bug_ids);
+
+    my $hasproduct = Bugzilla::Product->new({'name' => $name}) ? 1 : 0;
+
+    my $hasflags = $dbh->selectrow_array('SELECT 1 FROM flagtypes 
+                                           WHERE grant_group_id = ?
+                                              OR request_group_id = ? ' .
+                                          $dbh->sql_limit(1),
+                                          undef, ($gid, $gid)) || 0;
+
+    $vars->{'gid'}            = $gid;
+    $vars->{'name'}           = $name;
+    $vars->{'description'}    = $desc;
+    $vars->{'hasusers'}       = $hasusers;
+    $vars->{'hasbugs'}        = $hasbugs;
+    $vars->{'hasproduct'}     = $hasproduct;
+    $vars->{'hasflags'}       = $hasflags;
+    $vars->{'shared_queries'} = $shared_queries;
+    $vars->{'buglist'}        = $buglist;
+    $vars->{'token'}          = issue_session_token('delete_group');
+
+    print $cgi->header();
     $template->process("admin/groups/delete.html.tmpl", $vars)
       || ThrowTemplateError($template->error());
     
@@ -408,6 +370,7 @@ if ($action eq 'del') {
 #
 
 if ($action eq 'delete') {
+    check_token_data($token, 'delete_group');
     # Check that an existing group ID is given
     my $gid = CheckGroupID($cgi->param('group'));
     my ($name, $isbuggroup) =
@@ -418,60 +381,90 @@ if ($action eq 'delete') {
     if (!$isbuggroup) {
         ThrowUserError("system_group_not_deletable", { name => $name });
     }
+    # Groups having a special role cannot be deleted.
+    my @special_groups;
+    foreach my $special_group (SPECIAL_GROUPS) {
+        if ($name eq Bugzilla->params->{$special_group}) {
+            push(@special_groups, $special_group);
+        }
+    }
+    if (scalar(@special_groups)) {
+        ThrowUserError('group_has_special_role', {'name'  => $name,
+                                                  'groups' => \@special_groups});
+    }
 
     my $cantdelete = 0;
 
-    SendSQL("SELECT user_id FROM user_group_map 
-             WHERE group_id = $gid AND isbless = 0");
-    if (FetchOneColumn()) {
-        if (!defined $cgi->param('removeusers')) {
-            $cantdelete = 1;
-        }
-    }
-    SendSQL("SELECT bug_id FROM bug_group_map WHERE group_id = $gid");
-    if (FetchOneColumn()) {
-        if (!defined $cgi->param('removebugs')) {
-            $cantdelete = 1;
-        }
+    # Group inheritance no longer appears in user_group_map.
+    my $grouplist = join(',', @{Bugzilla::User->flatten_group_membership($gid)});
+    my $hasusers =
+        $dbh->selectrow_array("SELECT 1 FROM user_group_map
+                               WHERE group_id IN ($grouplist) AND isbless = 0 " .
+                               $dbh->sql_limit(1)) || 0;
+
+    if ($hasusers && !defined $cgi->param('removeusers')) {
+        $cantdelete = 1;
     }
-    SendSQL("SELECT name FROM products WHERE name=" . SqlQuote($name));
-    if (FetchOneColumn()) {
-        if (!defined $cgi->param('unbind')) {
-            $cantdelete = 1;
-        }
+
+    my $hasbugs = $dbh->selectrow_array('SELECT 1 FROM bug_group_map
+                                         WHERE group_id = ? ' .
+                                         $dbh->sql_limit(1),
+                                         undef, $gid) || 0;
+    if ($hasbugs && !defined $cgi->param('removebugs')) {
+        $cantdelete = 1;
     }
-    SendSQL("SELECT id FROM flagtypes 
-             WHERE grant_group_id = $gid OR request_group_id = $gid");
-    if (FetchOneColumn()) {
-        if (!defined $cgi->param('removeflags')) {
-            $cantdelete = 1;
-        }
+
+    if (Bugzilla::Product->new({'name' => $name})
+        && !defined $cgi->param('unbind'))
+    {
+        $cantdelete = 1;
     }
 
-    if (!$cantdelete) {
-        SendSQL("UPDATE flagtypes SET grant_group_id = NULL 
-                 WHERE grant_group_id = $gid");
-        SendSQL("UPDATE flagtypes SET request_group_id = NULL 
-                 WHERE request_group_id = $gid");
-        SendSQL("DELETE FROM user_group_map WHERE group_id = $gid");
-        SendSQL("DELETE FROM group_group_map
-                 WHERE grantor_id = $gid OR member_id = $gid");
-        SendSQL("DELETE FROM bug_group_map WHERE group_id = $gid");
-        SendSQL("DELETE FROM group_control_map WHERE group_id = $gid");
-        SendSQL("DELETE FROM whine_schedules WHERE " .
-                "mailto_type = " . MAILTO_GROUP . " " .
-                "AND mailto = $gid");
-        SendSQL("DELETE FROM groups WHERE id = $gid");
+    my $hasflags = $dbh->selectrow_array('SELECT 1 FROM flagtypes 
+                                           WHERE grant_group_id = ?
+                                              OR request_group_id = ? ' .
+                                          $dbh->sql_limit(1),
+                                          undef, ($gid, $gid)) || 0;
+    if ($hasflags && !defined $cgi->param('removeflags')) {
+        $cantdelete = 1;
     }
 
     $vars->{'gid'}        = $gid;
     $vars->{'name'}       = $name;
-    $vars->{'cantdelete'} = $cantdelete;
 
-    print Bugzilla->cgi->header();
-    $template->process("admin/groups/deleted.html.tmpl", $vars)
+    ThrowUserError('group_cannot_delete', $vars) if $cantdelete;
+
+    $dbh->do('UPDATE flagtypes SET grant_group_id = ?
+               WHERE grant_group_id = ?',
+              undef, (undef, $gid));
+    $dbh->do('UPDATE flagtypes SET request_group_id = ?
+               WHERE request_group_id = ?',
+              undef, (undef, $gid));
+    $dbh->do('DELETE FROM namedquery_group_map WHERE group_id = ?',
+              undef, $gid);
+    $dbh->do('DELETE FROM user_group_map WHERE group_id = ?',
+              undef, $gid);
+    $dbh->do('DELETE FROM group_group_map 
+               WHERE grantor_id = ? OR member_id = ?',
+              undef, ($gid, $gid));
+    $dbh->do('DELETE FROM bug_group_map WHERE group_id = ?',
+              undef, $gid);
+    $dbh->do('DELETE FROM group_control_map WHERE group_id = ?',
+              undef, $gid);
+    $dbh->do('DELETE FROM whine_schedules
+               WHERE mailto_type = ? AND mailto = ?',
+              undef, (MAILTO_GROUP, $gid));
+    $dbh->do('DELETE FROM groups WHERE id = ?',
+              undef, $gid);
+
+    delete_token($token);
+
+    $vars->{'message'} = 'group_deleted';
+    $vars->{'groups'} = [Bugzilla::Group->get_all];
+
+    print $cgi->header();
+    $template->process("admin/groups/list.html.tmpl", $vars)
       || ThrowTemplateError($template->error());
-
     exit;
 }
 
@@ -480,87 +473,68 @@ if ($action eq 'delete') {
 #
 
 if ($action eq 'postchanges') {
-    # ZLL: Bug 181589: we need to have something to remove explictly listed users from
-    # groups in order for the conversion to 2.18 groups to work
-    my $action;
-
-    if ($cgi->param('remove_explicit_members')) {
-        $action = 1;
-    } elsif ($cgi->param('remove_explicit_members_regexp')) {
-        $action = 2;
-    } else {
-        $action = 3;
-    }
-    
-    my ($gid, $chgs, $name, $regexp) = doGroupChanges();
-    
-    $vars->{'action'}  = $action;
-    $vars->{'changes'} = $chgs;
-    $vars->{'gid'}     = $gid;
-    $vars->{'name'}    = $name;
-    if ($action == 2) {
-        $vars->{'regexp'} = $regexp;
-    }
-    
-    print Bugzilla->cgi->header();
-    $template->process("admin/groups/change.html.tmpl", $vars)
+    check_token_data($token, 'edit_group');
+    my $changes = doGroupChanges();
+    delete_token($token);
+
+    my $group = new Bugzilla::Group($cgi->param('group_id'));
+    get_current_and_available($group, $vars);
+    $vars->{'message'} = 'group_updated';
+    $vars->{'group'}   = $group;
+    $vars->{'changes'} = $changes;
+    $vars->{'token'} = issue_session_token('edit_group');
+
+    print $cgi->header();
+    $template->process("admin/groups/edit.html.tmpl", $vars)
       || ThrowTemplateError($template->error());
     exit;
 }
 
-if (($action eq 'remove_all_regexp') || ($action eq 'remove_all')) {
+if ($action eq 'confirm_remove') {
+    my $group = new Bugzilla::Group(CheckGroupID($cgi->param('group_id')));
+    $vars->{'group'} = $group;
+    $vars->{'regexp'} = CheckGroupRegexp($cgi->param('regexp'));
+    $vars->{'token'} = issue_session_token('remove_group_members');
+    $template->process('admin/groups/confirm-remove.html.tmpl', $vars)
+        || ThrowTemplateError($template->error());
+    exit;
+}
+
+if ($action eq 'remove_regexp') {
+    check_token_data($token, 'remove_group_members');
     # remove all explicit users from the group with
     # gid = $cgi->param('group') that match the regular expression
     # stored in the DB for that group or all of them period
 
-    my $gid = CheckGroupID($cgi->param('group'));
+    my $group  = new Bugzilla::Group(CheckGroupID($cgi->param('group_id')));
+    my $regexp = CheckGroupRegexp($cgi->param('regexp'));
 
-    my $sth = $dbh->prepare("SELECT name, userregexp FROM groups
-                             WHERE id = ?");
-    $sth->execute($gid);
-    my ($name, $regexp) = $sth->fetchrow_array();
-    $dbh->bz_lock_tables('groups WRITE', 'profiles READ',
-                         'user_group_map WRITE');
-    $sth = $dbh->prepare("SELECT user_group_map.user_id, profiles.login_name
-                            FROM user_group_map
-                      INNER JOIN profiles
-                              ON user_group_map.user_id = profiles.userid
-                           WHERE user_group_map.group_id = ?
-                             AND grant_type = ?
-                             AND isbless = 0");
-    $sth->execute($gid, GRANT_DIRECT);
-
-    my @users;
-    my $sth2 = $dbh->prepare("DELETE FROM user_group_map
-                              WHERE user_id = ?
-                              AND isbless = 0
-                              AND group_id = ?");
-    while ( my ($userid, $userlogin) = $sth->fetchrow_array() ) {
-        if ((($regexp =~ /\S/) && ($userlogin =~ m/$regexp/i))
-            || ($action eq 'remove_all'))
-        {
-            $sth2->execute($userid,$gid);
-
-            my $user = {};
-            $user->{'login'} = $userlogin;
-            push(@users, $user);
+    $dbh->bz_start_transaction();
+
+    my $users = $group->members_direct();
+    my $sth_delete = $dbh->prepare(
+        "DELETE FROM user_group_map
+           WHERE user_id = ? AND isbless = 0 AND group_id = ?");
+
+    my @deleted;
+    foreach my $member (@$users) {
+        if ($regexp eq '' || $member->login =~ m/$regexp/i) {
+            $sth_delete->execute($member->id, $group->id);
+            push(@deleted, $member);
         }
     }
+    $dbh->bz_commit_transaction();
 
-    $sth = $dbh->prepare("UPDATE groups
-             SET last_changed = NOW()
-             WHERE id = ?");
-    $sth->execute($gid);
-    $dbh->bz_unlock_tables();
+    $vars->{'users'}  = \@deleted;
+    $vars->{'regexp'} = $regexp;
+    delete_token($token);
 
-    $vars->{'users'}      = \@users;
-    $vars->{'name'}       = $name;
-    $vars->{'regexp'}     = $regexp;
-    $vars->{'remove_all'} = ($action eq 'remove_all');
-    $vars->{'gid'}        = $gid;
-    
-    print Bugzilla->cgi->header();
-    $template->process("admin/groups/remove.html.tmpl", $vars)
+    $vars->{'message'} = 'group_membership_removed';
+    $vars->{'group'} = $group->name;
+    $vars->{'groups'} = [Bugzilla::Group->get_all];
+
+    print $cgi->header();
+    $template->process("admin/groups/list.html.tmpl", $vars)
       || ThrowTemplateError($template->error());
 
     exit;
@@ -578,121 +552,109 @@ ThrowCodeError("action_unrecognized", $vars);
 sub doGroupChanges {
     my $cgi = Bugzilla->cgi;
     my $dbh = Bugzilla->dbh;
-    my $sth;
 
-    $dbh->bz_lock_tables('groups WRITE', 'group_group_map WRITE',
-                         'bug_group_map WRITE', 'user_group_map WRITE',
-                         'group_control_map READ', 'bugs READ', 'profiles READ',
-                         'namedqueries READ', 'whine_queries READ');
+    $dbh->bz_start_transaction();
 
-    # Check that the given group ID and regular expression are valid.
-    # If tests are successful, trimmed values are returned by CheckGroup*.
-    my $gid = CheckGroupID($cgi->param('group'));
-    my $regexp = CheckGroupRegexp($cgi->param('regexp'));
+    # Check that the given group ID is valid and make a Group.
+    my $group = new Bugzilla::Group(CheckGroupID($cgi->param('group_id')));
 
-    # The name and the description of system groups cannot be edited.
-    # We then need to know if the group being edited is a system group.
-    SendSQL("SELECT isbuggroup FROM groups WHERE id = $gid");
-    my ($isbuggroup) = FetchSQLData();
-    my $name;
-    my $desc;
-    my $isactive;
-    my $chgs = 0;
-
-    # We trust old values given by the template. If they are hacked
-    # in a way that some of the tests below become negative, the
-    # corresponding attributes are not updated in the DB, which does
-    # not hurt.
-    if ($isbuggroup) {
-        # Check that the group name and its description are valid
-        # and return trimmed values if tests are successful.
-        $name = CheckGroupName($cgi->param('name'), $gid);
-        $desc = CheckGroupDesc($cgi->param('desc'));
-        $isactive = $cgi->param('isactive') ? 1 : 0;
-
-        if ($name ne $cgi->param('oldname')) {
-            $chgs = 1;
-            $sth = $dbh->do("UPDATE groups SET name = ? WHERE id = ?",
-                            undef, $name, $gid);
+    if (defined $cgi->param('regexp')) {
+        $group->set_user_regexp($cgi->param('regexp'));
+    }
+
+    if ($group->is_bug_group) {
+        if (defined $cgi->param('name')) {
+            $group->set_name($cgi->param('name'));
         }
-        if ($desc ne $cgi->param('olddesc')) {
-            $chgs = 1;
-            $sth = $dbh->do("UPDATE groups SET description = ? WHERE id = ?",
-                            undef, $desc, $gid);
+        if (defined $cgi->param('desc')) {
+            $group->set_description($cgi->param('desc'));
         }
-        if ($isactive ne $cgi->param('oldisactive')) {
-            $chgs = 1;
-            $sth = $dbh->do("UPDATE groups SET isactive = ? WHERE id = ?",
-                            undef, $isactive, $gid);
-            # If the group was mandatory for some products before
-            # we deactivated it and we now activate this group again,
-            # we have to add all bugs created while this group was
-            # disabled in bug_group_map to correctly protect them.
-            if ($isactive) { fix_bug_permissions($gid); }
+        # Only set isactive if we came from the right form.
+        if (defined $cgi->param('regexp')) {
+            $group->set_is_active($cgi->param('isactive'));
         }
     }
-    if ($regexp ne $cgi->param('oldregexp')) {
-        $chgs = 1;
-        $sth = $dbh->do("UPDATE groups SET userregexp = ? WHERE id = ?",
-                        undef, $regexp, $gid);
-        RederiveRegexp($regexp, $gid);
+
+    if (defined $cgi->param('icon_url')) {
+        $group->set_icon_url($cgi->param('icon_url'));
     }
 
-    foreach my $b (grep {/^oldgrp-\d*$/} $cgi->param()) {
-        if (defined($cgi->param($b))) {
-            $b =~ /^oldgrp-(\d+)$/;
-            my $v = $1;
-            my $grp = $cgi->param("grp-$v") || 0;
-            if (($v != $gid) && ($cgi->param("oldgrp-$v") != $grp)) {
-                $chgs = 1;
-                if ($grp != 0) {
-                    SendSQL("INSERT INTO group_group_map 
-                             (member_id, grantor_id, grant_type)
-                             VALUES ($v, $gid," . GROUP_MEMBERSHIP . ")");
-                } else {
-                    SendSQL("DELETE FROM group_group_map
-                             WHERE member_id = $v AND grantor_id = $gid
-                             AND grant_type = " . GROUP_MEMBERSHIP);
-                }
-            }
-
-            my $bless = $cgi->param("bless-$v") || 0;
-            my $oldbless = $cgi->param("oldbless-$v");
-            if ((defined $oldbless) and ($oldbless != $bless)) {
-                $chgs = 1;
-                if ($bless != 0) {
-                    SendSQL("INSERT INTO group_group_map 
-                             (member_id, grantor_id, grant_type)
-                             VALUES ($v, $gid," . GROUP_BLESS . ")");
-                } else {
-                    SendSQL("DELETE FROM group_group_map
-                             WHERE member_id = $v AND grantor_id = $gid
-                             AND grant_type = " . GROUP_BLESS);
-                }
-            }
-
-            my $cansee = $cgi->param("cansee-$v") || 0;
-            if (Param("usevisibilitygroups") 
-               && ($cgi->param("oldcansee-$v") != $cansee)) {
-                $chgs = 1;
-                if ($cansee != 0) {
-                    SendSQL("INSERT INTO group_group_map 
-                             (member_id, grantor_id, grant_type)
-                             VALUES ($v, $gid," . GROUP_VISIBLE . ")");
-                } else {
-                    SendSQL("DELETE FROM group_group_map
-                             WHERE member_id = $v AND grantor_id = $gid
-                             AND grant_type = " . GROUP_VISIBLE);
-                }
-            }
+    my $changes = $group->update();
+
+    my $sth_insert = $dbh->prepare('INSERT INTO group_group_map
+                                    (member_id, grantor_id, grant_type)
+                                    VALUES (?, ?, ?)');
+
+    my $sth_delete = $dbh->prepare('DELETE FROM group_group_map
+                                     WHERE member_id = ?
+                                           AND grantor_id = ?
+                                           AND grant_type = ?');
+
+    # First item is the type, second is whether or not it's "reverse" 
+    # (granted_by) (see _do_add for more explanation).
+    my %fields = (
+        members       => [GROUP_MEMBERSHIP, 0],
+        bless_from    => [GROUP_BLESS, 0],
+        visible_from  => [GROUP_VISIBLE, 0],
+        member_of     => [GROUP_MEMBERSHIP, 1],
+        bless_to      => [GROUP_BLESS, 1],
+        visible_to_me => [GROUP_VISIBLE, 1]
+    );
+    while (my ($field, $data) = each %fields) {
+        _do_add($group, $changes, $sth_insert, "${field}_add", 
+                $data->[0], $data->[1]);
+        _do_remove($group, $changes, $sth_delete, "${field}_remove",
+                   $data->[0], $data->[1]);
+    }
 
-        }
+    $dbh->bz_commit_transaction();
+    return $changes;
+}
+
+sub _do_add {
+    my ($group, $changes, $sth_insert, $field, $type, $reverse) = @_;
+    my $cgi = Bugzilla->cgi;
+
+    my $current;
+    # $reverse means we're doing a granted_by--that is, somebody else
+    # is granting us something.
+    if ($reverse) {
+        $current = $group->granted_by_direct($type);
     }
-    
-    if ($chgs) {
-        # mark the changes
-        SendSQL("UPDATE groups SET last_changed = NOW() WHERE id = $gid");
+    else {
+        $current = $group->grant_direct($type);
+    }
+
+    my $add_items = Bugzilla::Group->new_from_list([$cgi->param($field)]);
+
+    foreach my $add (@$add_items) {
+        next if grep($_->id == $add->id, @$current);
+
+        $changes->{$field} ||= [];
+        push(@{$changes->{$field}}, $add->name);
+        # They go this direction for a normal "This group is granting
+        # $add something."
+        my @ids = ($add->id, $group->id);
+        # But they get reversed for "This group is being granted something
+        # by $add."
+        @ids = reverse @ids if $reverse;
+        $sth_insert->execute(@ids, $type);
+    }
+}
+
+sub _do_remove {
+    my ($group, $changes, $sth_delete, $field, $type, $reverse) = @_;
+    my $cgi = Bugzilla->cgi;
+    my $remove_items = Bugzilla::Group->new_from_list([$cgi->param($field)]);
+
+    foreach my $remove (@$remove_items) {
+        my @ids = ($remove->id, $group->id);
+        # See _do_add for an explanation of $reverse
+        @ids = reverse @ids if $reverse;
+        # Deletions always succeed and are harmless if they fail, so we
+        # don't need to do any checks.
+        $sth_delete->execute(@ids, $type);
+        $changes->{$field} ||= [];
+        push(@{$changes->{$field}}, $remove->name);
     }
-    $dbh->bz_unlock_tables();
-    return $gid, $chgs, $name, $regexp;
 }