閲覧許可が無いページの添付ファイルが一覧に表示されてしまう。

  • ページ: BugTrack
  • 投稿者: squld?
  • 優先順位: 低
  • 状態: 完了
  • カテゴリー: プラグイン
  • 投稿日: 2003-09-29 (月) 18:29:38
  • バージョン: 1.4rc4

メッセージ

全ページの添付ファイル一覧画面で閲覧許可が無いページの添付ファイルまで表示されます。閲覧許可があるページの添付ファイルのみが表示されるほうが良いのではないでしょうか?

↓こんな感じの修正? attach.inc.php

		while ($file = readdir($dir))
		{
			if (!preg_match($pattern,$file,$matches))
			{
				continue;
			}
			$_page = decode($matches[1]);
+			if(!check_readable($_page,false,false))
+			{
+				continue;
+			}
			$_file = decode($matches[2]);
			$_age = array_key_exists(3,$matches) ? $matches[3] : 0;
			if (!array_key_exists($_page,$this->pages))
			{
				$this->pages[$_page] = &new AttachFiles($_page);
			}
			$this->pages[$_page]->add($_file,$_age);
		} 

  • 認証に関して言えば、現状のatttach.inc.phpは穴だらけ*1で、どうしたものか思案中なんですが… -- ぱんだ 2003-09-30 (火) 15:04:51
  • 以下のようにすればわかりやすいと思います。実装は・・・。 XD -- squld? 2003-09-30 (火) 15:48:13
    認可と添付のポリシーについて
    添付先ページの権限新規添付添付更新添付削除添付取得添付一覧*2
    読, 書できる(○)できる(○)できる(○)できる(○)見える(○)
    だめ(○)だめ(○)だめ(○)できる(○)見えない*3見える(○)
    なしだめ(?)だめ(?)だめ(?)だめ(□)見えない(○)
    検索認証*4上に順ずる(?)見える(?)*5
    ?(?)*6
  • cvsに投入しました。 cvs:plugin/attach.inc.php(v1.4:r1.34) いろいろ叩いてみていただけると助かります。 -- ぱんだ 2003-09-30 (火) 16:09:35
  • ありがとうございます。早速試してみます。 -- squld? 2003-09-30 (火) 16:48:27
  • テストしてみました。テスト結果を上の表にまとめておきました。カッコ内がテスト結果です。以下凡例 -- squld? 2003-09-30 (火) 17:07:48
    • ○ 上手く行きました。
    • □ 上手く行きました。ただしURL直打ちでテスト。
    • ? 未テスト。

*1 閲覧認証を突破して、ページを表示できたりします XD
*2 全ページの添付ファイル一覧
*3 ボケてました。見えたほうがいいですね。
*4 $search_auth = 0
*5 一覧画面で見えるけどダウンロード不可能
*6 こんな権限設定する人居るんでしょうか?

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2003-09-30 (火) 17:09:58
Site admin: PukiWiki Development Team

PukiWiki 1.5.2+ © 2001-2019 PukiWiki Development Team. Powered by PHP 5.6.40-0+deb8u7. HTML convert time: 0.172 sec.

OSDN