dolibarr-dev
[Top][All Lists]
Advanced
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [Dolibarr-dev] Ajout : Droits sur les commerciaux

From: Régis Houssin
Subject: Re: [Dolibarr-dev] Ajout : Droits sur les commerciaux
Date: Fri, 26 Jan 2007 20:35:01 +0100 (CET)
User-agent: SquirrelMail/1.4.4 
> On Fri, 26 Jan 2007 16:59:41 +0100 (CET)
> Régis Houssin <address@hidden> wrote:
>
>> j'ai ajouté ceci en test sur /comm/propal.php afin de sécuriser
>> l'accès aux fiches propal envers les commerciaux qui sont restreint
>> au niveau visualisation des sociétés, est-ce que ca convient ? si oui
>> on le reporte sur les factures et autres :
>>
>> // Protection restriction commercial
>>   if (!$user->rights->commercial->client->voir)
>>   {
>>     $sql = "SELECT sc.fk_soc";
>>     $sql .= " FROM ".MAIN_DB_PREFIX."societe_commerciaux as sc";
>>     $sql .= " WHERE sc.fk_soc = ".$propal->socid." AND sc.fk_user >
>> ".$user->id;
>>     if ( $db->query($sql) )
>>     {
>>       if ( $db->num_rows() == 0) accessforbidden();
>>     }
>>   }
>>   //fin de Protection restriction commercial
>
> Je ne comprends pas vraiment la raison pour le sql extra: tu n'as pas
> confiance dans les properties de l'utilisateur? Le check
>
> $propal->socid <> $user->societe_id
>
> me semble suffisant, mais peut-etre je comprends mal le droit
> "$user->rights->commercial->client->voir"
>
> Franky


Bonjour Franky,

en fait c'est pour une question de sécurité au niveau de l'URL tapé dans
IE ou Firefox :

http://localhost/dolibarr/comm/propal.php?propalid=9

si un commercial change l'URL en remplacant la valeur de "propalid" par
une valeur d'une propale dont le client ne lui est pas attribué il ne faut
pas qu'il la voit, c'est pour ca qu'il faut ajouter un check qui permet de
vérifier si l'ID de la propale, donc du client est bien attribué au
commercial.

est-ce tu vois ce que je veux dire ?

Régis
reply via email to
[Prev in Thread] Current Thread [Next in Thread]