spip
/
spip
32
14
Fork 13
Code Issues 435 Pull Requests 10 Projects Releases Wiki Activity
Labels Milestones
New Issue

formulaire_editer_article_verifier : vérification incomplète #3686

Closed
opened 7 years ago by peetdu · 5 comments
peetdu commented 7 years ago

Il me semble qu'il manque une vérification dans https://core.spip.net/projects/spip/repository/entry/spip/prive/formulaires/editer_article.php#L157 ?
Puisque l'on test l'autorisation creerarticledans c'est que l'on est bien dans la cas d'une création. Donc blinder avec !is_numeric($id_article) ?

auquel cas la ligne 157 deviendrait

and !autoriser('creerarticledans', 'rubrique', _request('id_parent')) and !is_numeric($id_article)

Exemple : un site où les internautes soumettent des projets (des articles en l'occurrence). Le dépôt des projets est soumis à une date limite.
Après cette date, il n'est plus possible de créer des nouveaux projets, mais les déposants doivent pouvoir encore modifier leur projet.

Il me semble qu'il manque une vérification dans https://core.spip.net/projects/spip/repository/entry/spip/prive/formulaires/editer_article.php#L157 ? Puisque l'on test l'autorisation _creerarticledans_ c'est que l'on est bien dans la cas d'une *création*. Donc blinder avec <var>!is_numeric($id_article)</var> ? auquel cas la ligne 157 deviendrait <pre> and !autoriser('creerarticledans', 'rubrique', _request('id_parent')) and !is_numeric($id_article) </pre> Exemple : un site où les internautes soumettent des projets (des articles en l'occurrence). Le dépôt des projets est soumis à une date limite. Après cette date, il n'est plus possible de *créer* des nouveaux projets, mais les déposants doivent pouvoir encore *modifier* leur projet.
b_b commented 7 years ago
Owner

Sur le principe ça me semble logique, mais il faudrait vérifier que cela ne va pas générer des effets de bord. Un truc que je ne comprends pas, c'est quand tu dis :

Après cette date, il n'est plus possible de créer des nouveaux projets, mais les déposants doivent pouvoir encore modifier leur projet.

Tu veux dire que tu as surchargé l'autorisation en question ? Dans quel cas tombes tu sur un bug ?

Sur le principe ça me semble logique, mais il faudrait vérifier que cela ne va pas générer des effets de bord. Un truc que je ne comprends pas, c'est quand tu dis : > Après cette date, il n'est plus possible de créer des nouveaux projets, mais les déposants doivent pouvoir encore modifier leur projet. Tu veux dire que tu as surchargé l'autorisation en question ? Dans quel cas tombes tu sur un bug ?
peetdu commented 7 years ago
Poster

La ligne https://core.spip.net/projects/spip/repository/entry/spip/prive/formulaires/editer_article.php#L157, vient de
https://core.spip.net/issues/2508.

L'avantage (?) de https://core.spip.net/projects/spip/repository/revisions/19075, c'est que ça gère aussi bien les cas de création et de modification d'un article dans une rubrique interdite.

J'ai donc testé mon patch avec le cas d'un admin restreint et il n'y a pas d'effet de bord : ceci grâce à autoriser_article_modifier().

Il est donc question ici de compléter/corriger cette demande : il doit être possible de voir et de modifier, même si il est interdit de créer.

Le bug que j'ai trouvé :

C'est le cas qui se présente avec le plugin LIM

1- un article ou des articles ont été créés dans une rubrique;
2- puis le webmestre décide plus tard d'interdire la création de nouveaux articles dans cette même rubrique, ceci grâce à une fonction du plugin LIM;
3- Mais si il n'est plus possible de créer un article dans cette rubrique, LIM gère le cas où l'auteur veut les modifier ses articles présents dans cette rubrique.

Donc le bug soulevé vient du fait que le plugin LIM surcharge l'autorisation autoriser_rubrique_publierdans(). Plus exactement, il ajoute une condition.
voir http://zone.spip.org/trac/spip-zone/changeset/95014/plugins/lim/trunk/lim_autorisations.php.

Je précise que cette fonctionnalité du plugin LIM pose un problème seulement avec l'objet Article. Pas avec les autres objets éditoriaux.

Voilà. J'espère n'avoir rien oublié.

La ligne https://core.spip.net/projects/spip/repository/entry/spip/prive/formulaires/editer_article.php#L157, vient de https://core.spip.net/issues/2508. L'avantage (?) de https://core.spip.net/projects/spip/repository/revisions/19075, c'est que ça gère aussi bien les cas de création et de modification d'un article dans une rubrique interdite. J'ai donc testé mon patch avec le cas d'un admin restreint et il n'y a pas d'effet de bord : ceci grâce à autoriser_article_modifier(). Il est donc question ici de compléter/corriger cette demande : il doit être possible de voir *et de modifier*, même si il est interdit de créer. ### Le bug que j'ai trouvé : C'est le cas qui se présente avec le plugin LIM 1- un article ou des articles ont été créés dans une rubrique; 2- puis le webmestre décide plus tard d'interdire la création de nouveaux articles dans cette même rubrique, ceci grâce à une fonction du plugin LIM; 3- Mais si il n'est plus possible de créer un article dans cette rubrique, LIM gère le cas où l'auteur veut les modifier ses articles présents dans cette rubrique. Donc le bug soulevé vient du fait que le plugin LIM surcharge l'autorisation autoriser_rubrique_publierdans(). Plus exactement, il ajoute une condition. voir http://zone.spip.org/trac/spip-zone/changeset/95014/_plugins_/lim/trunk/lim_autorisations.php. Je précise que cette fonctionnalité du plugin LIM pose un problème seulement avec l'objet Article. Pas avec les autres objets éditoriaux. Voilà. J'espère n'avoir rien oublié.
cerdic commented 6 years ago
Owner

cette ligne sert à verifier qu'on essaye pas de déplacer l'article dans une rubrique où on aurait pas le droit d'ecrire (ie si on est par exemple pas admin)

cette ligne sert à verifier qu'on essaye pas de déplacer l'article dans une rubrique où on aurait pas le droit d'ecrire (ie si on est par exemple pas admin)
peetdu commented 4 years ago
Poster

Ok merci pour l'info.

On peut fermer ce ticket du coup.

Ok merci pour l'info. On peut fermer ce ticket du coup.
b_b commented 4 years ago
Owner

Et hop :)
Statut changé à Fermé

Et hop :) **Statut changé à Fermé**
Sign in to join this conversation.
No Branch/Tag Specified
Branches Tags
1.8
1.9.1
1.9.2
2.0
2.1
3.0
3.1
3.2
4.0
4.1
4.2
boutons-danger
coquille_doc
debug_ecrire_fichier
dev-sortable
dev/autoloader
dev/hasard_fixe
dev/instituer_ergo
dev/issue_4626_menu_squelettes
dev/issue_5447_exporter_csv
dev_infos_image
fix/valider_url_distante
fix_issue_5454
fix_modifier_login
issue_4101
issue_4678
issue_4705
issue_4717
issue_4836
issue_4946
issue_5258
issue_5344
issue_5427_bis
issue_5483_find_script_jquery
issue_5487_info_maj
master
Labels
Apply labels
Clear labels
accessibilité amélioration
Amélioration, nouvelle fonctionnalité APIs authentification base de données bug
Ca ne fonctionne pas code généré compilo css divers documentation doublon
Ce ticket est un doublon ergonomie espace privé filtres et balises formulaires Inscription installation invalide
Ticket invalide javascript langues LDAP plugin PostgreSQL refusé
Ignoré, c'est comme Ca... sécurité traduction
No Label accessibilité amélioration APIs authentification base de données bug code généré compilo css divers documentation doublon ergonomie espace privé filtres et balises formulaires Inscription installation invalide javascript langues LDAP plugin PostgreSQL refusé sécurité traduction
Milestone
Set milestone
Clear milestone
No items
No Milestone
3.1
Projects
Clear projects
No project
Assignees
Assign users
Clear assignees
No Assignees
3 Participants
Notifications
Due Date

No due date set.

Dependencies

This issue currently doesn't have any dependencies.

Write Preview
Loading…
Cancel
Save
There is no content yet.
Delete Branch '%!s(MISSING)'

Deleting a branch is permanent. It CANNOT be undone. Continue?

No
Yes