[Top][All Lists]
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[Dolibarr-dev] Droits sur les commerciaux
From: |
Régis Houssin |
Subject: |
[Dolibarr-dev] Droits sur les commerciaux |
Date: |
Fri, 26 Jan 2007 16:23:24 +0100 (CET) |
User-agent: |
SquirrelMail/1.4.4 |
Bonjour,
apparement je viens de voir que la vérification du droit de voir ou non
tous les clients pour un commercial a été supprimé sur certain fichier.
ce qui pose un problème de sécurité car j'avais ajouté cette vérification
(sur les fiches propales par exemple mais aussi ailleurs) afin qu'un
commercial ne puissent pas accéder au propales ou autres des autres
commerciaux.
par exemple si on a ceci dans l'explorateur :
http://localhost/dolibarr/comm/propal.php?propalid=9
et qu'un commercial "un peu futé" change le numéro de la variable
"propalid" dans la ligne il aura tout de même accès à la propale d'une
société dont il ne devrait pas avoir accès.
c'est pour ca que j'avais ajouté cette vérification:
if (!$user->rights->commercial->client->voir && $user->societe_id > 0 &&
$propal->socid <> $user->societe_id)
vous êtes d'accord avec moi ? :)
Régis
- [Dolibarr-dev] Droits sur les commerciaux,
Régis Houssin <=