[Tep-j-general] Re: 管理画面を共有する方法はありませんでしょうか?

Back to archive index

KO-JI notto****@mbn*****
2006年 4月 18日 (火) 01:06:59 JST


曽我部様

こんばんは。KO-JIです。

お忙しい中、早速のご回答本当にありがとうございます。

> これです。余計な御世話かもしれませんが、PHPとかWebアプリケーションに詳しくないので
> あれば、今回の件は難易度が高すぎると思います。

そうなのですか・・・
知識がない分逆にそんなに難易度が高いとは思いませんでした・・・

ご迷惑ばかりおかけしております。。。

なかなか諦めきれないのですが・・・

いつも本当にありがとうございます。

失礼いたします。

----- Original Message ----- 
From: "Seiji Sogabe" <sogab****@alles*****>
To: <tep-j****@lists*****>
Sent: Monday, April 17, 2006 11:59 PM
Subject: [Tep-j-general] Re: 管理画面を共有する方法はありませんでしょうか?


> 曽我部です。
>
> KO-JI wrote:
>> 上記のURLの時に、
>>
>> https://www.xxxx.com/admin1/categories.php?cPath=2&pID=2&action=new_product
>>
>> ↑のように違うカテゴリの商品編集の際のURLを入力しますと、
>> 編集出来てしまいます。
>
> 上記の処理を行っているのは、
> admin/categories.php  の 317行目
>
>> 317    if ($HTTP_GET_VARS['action'] == 'new_product') {
>> 318      if ( ($HTTP_GET_VARS['pID']) && (!$HTTP_POST_VARS) ) {
>> 319        $product_query = tep_db_query("select pd.products_name, 
>> pd.products_description, pd.products_url, p.products_id, 
>> p.products_quantity, p.products_model, p.products_image, 
>> p.products_price, p.products_weight, p.products_date_added, 
>> p.products_last_modified, date_format(p.products_date_available, 
>> '%Y-%m-%d') as products_date_available, p.products_status, 
>> p.products_tax_class_id, p.manufacturers_id from " . TABLE_PRODUCTS . " 
>> p, " . TABLE_PRODUCTS_DESCRIPTION . " pd where p.products_id = '" . 
>> $HTTP_GET_VARS['pID'] . "' and p.products_id = pd.products_id and 
>> pd.language_id = '" . $languages_id . "'");
>> 320        $product = tep_db_fetch_array($product_query);
>> 321
>> 322        $pInfo = new objectInfo($product);
>
> なので、products_idが $HTTP_GET_VARS['pID'] である商品を編集できる権限があるか確認して、
> 権限がなければ、redirectするなりすればよいのでは。
> もしくは、スクリプトの最初で$HTTP_GET_VARS['pID'] が設定されているか確認したほうがいいか
> もしれません。
>
>> その際に、
>> 「プレビュー」のボタンを押して「更新」のページに行く際に、
>>
>> https://www.xxxx.com/admin1/categories.php?cPath=1&pID=2&action=new_product
>>                             ^^^^^^^^^^^^^^^^
>> cPath=1 に戻るのですが、商品のIDはそのままで、
>> 「更新」しますと
>>
>> https://www.xxxx.com/admin1/categories.php?cPath=1
>>
>> に戻るのですが、
>> ID=2 の商品データは変更できてしまいます。
>>
>> 希望としましては、この時に変更できないようなればうれしいです・・・
>
> これも、actionによらず$HTTP_GET_VARS['pID'] や$HTTP_POST_VARS['products_id']を
> もとに商品を編集できる権限をスクリプトの最初で確認すればできるかもしれません。 
> 
>
>> 伝わりましたでしょうか?
>
> 私が一番言いたかったことは、
>
>>> そもそもosCommerceはそのような使いかたを想定していないので、スキルが
>>> ないとトラブルのもとです。
>
> これです。余計な御世話かもしれませんが、PHPとかWebアプリケーションに詳しくないので
> あれば、今回の件は難易度が高すぎると思います。
>
> では。
> -- 
> sogab****@alles*****
>
> _______________________________________________
> Tep-j-general mailing list
> Tep-j****@lists*****
> http://lists.sourceforge.jp/mailman/listinfo/tep-j-general
>
> 





Tep-j-general メーリングリストの案内
Back to archive index