Régis Houssin a écrit :
Bonjour,
apparement je viens de voir que la vérification du droit de voir ou non
tous les clients pour un commercial a été supprimé sur certain fichier.
ce qui pose un problème de sécurité car j'avais ajouté cette vérification
(sur les fiches propales par exemple mais aussi ailleurs) afin qu'un
commercial ne puissent pas accéder au propales ou autres des autres
commerciaux.
par exemple si on a ceci dans l'explorateur :
http://localhost/dolibarr/comm/propal.php?propalid=9
et qu'un commercial "un peu futé" change le numéro de la variable
"propalid" dans la ligne il aura tout de même accès à la propale d'une
société dont il ne devrait pas avoir accès.
[...]
vous êtes d'accord avec moi ? :)
Régis
Bonjour
Dans le sens de la limitation, oui, c'est ce que Franky avait fait et que
j'avais testé, en passant par les URL (comme tu présente ici).
Si un commercial peut voir les autres propales, autant ajouter un droit
supplémentaire : Voir toutes les propales.
Ça demande plus de travail, donc, peut-être que ça peut attendre la prochaine
version.
A bientôt
Grégoire
_______________________________________________
Dolibarr-dev mailing list
Dolibarr-dev@nongnu.org
http://lists.nongnu.org/mailman/listinfo/dolibarr-dev
