KAS 6 Опубликовано: 20 августа 2020 Рассказать Опубликовано: 20 августа 2020 Допустим есть 3 доп. поля 1. Текст 2. Файл 3. Картинка И есть группа "Пупсики" У неё есть разрешение на правку только поля 1. Текст, то эта группа не может добавлять файлы и картинки в остальные поля, НО они могут удалить то, что есть в этих полях, хотя по логике у них не должно быть кнопки Удалить, а в идеале вообще не должны эти поля показываться при редактировании. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 094 Опубликовано: 21 августа 2020 Рассказать Опубликовано: 21 августа 2020 проблема не подтверждена. Поля которые не разрешены для добавления для группы. При редактировании не выводится при редактировании новости, а их редактирование не учитывается. Цитата Ссылка на сообщение Поделиться на других сайтах
Mr. Bot 26 Опубликовано: 24 августа 2020 Рассказать Опубликовано: 24 августа 2020 В 21.08.2020 в 14:50, celsoft сказал: проблема не подтверждена. Поля которые не разрешены для добавления для группы. При редактировании не выводится при редактировании новости, а их редактирование не учитывается. Ту же картинку он может через окно загрузки файлов удалить, и в доп. поле её так же уже не будет, так что в какой то мере это не пофиксить даже настройкой прав. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 094 Опубликовано: 25 августа 2020 Рассказать Опубликовано: 25 августа 2020 15 часов назад, Mr. Bot сказал: Ту же картинку он может через окно загрузки файлов удалить, и в доп. поле её так же уже не будет, так что в какой то мере это не пофиксить даже настройкой прав. Может, но это уже не связано с правами на доп. поля. Все картинки привязаны к новости, а не к полям. И могут быть использованы в любых полях, и нескольких одновременно, а не только в одном конкретном. Это вам уже нужно исправлять сознание своих пользователей. И запрещать загрузку и управление изображениями. Они общие на всю новость, таковыми и останутся потому как это обеспечивает дополнительные возможности для публикации разного контента, без необходимости повторной загрузки одного и того же Цитата Ссылка на сообщение Поделиться на других сайтах
Mr. Bot 26 Опубликовано: 25 августа 2020 Рассказать Опубликовано: 25 августа 2020 13 минут назад, celsoft сказал: Может, но это уже не связано с правами на доп. поля. Все картинки привязаны к новости, а не к полям. И могут быть использованы в любых полях, и нескольких одновременно, а не только в одном конкретном. Это вам уже нужно исправлять сознание своих пользователей. И запрещать загрузку и управление изображениями. Они общие на всю новость, таковыми и останутся потому как это обеспечивает дополнительные возможности для публикации разного контента, без необходимости повторной загрузки одного и того же Первое правило разработчика, не доверять пользователям. Насколько я помню, судя по коду, можно подсунуть в доп. поле в POST изображение чужой новости, и потом при редактировании удалить изображение чужой новости, т.к. при удалении изображения из доп. поля, не проверяется вроде бы чьей новости принадлежит изображение. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 094 Опубликовано: 25 августа 2020 Рассказать Опубликовано: 25 августа 2020 44 минуты назад, Mr. Bot сказал: Первое правило разработчика, не доверять пользователям. Причем здесь доверие разработчика к пользователям? Здесь речь идет о доверии администратора сайта к тому кому он дает доступ редактировать контент. Здесь нет нарушений доверия от DLE к пользователю. Я вам написал что картинки едины для всей!!! публикации и могут быть использованы в любом !!! поле, а загружены один раз. Это сделано умышленно!!! и по причинам сказанным ранее, а не нарушение доверия. 44 минуты назад, Mr. Bot сказал: Насколько я помню, судя по коду, можно подсунуть в доп. поле в POST изображение чужой новости, и потом при редактировании удалить Плохо помните. Если пользователю разрешен доступ к публикации, он сможет управлять, если нет то нет. И ничего подсовывать при этом не нужно, достаточно вызвать список изображений через стандартную кнопку управления изображениями в редакторе. А попытаться подсунуть что то, в DLE не получится, он проверяет возможность доступа. Картинка должна либо принадлежать пользователю, т.е. находится в его публикации и ему разрешено управление картинками, либо пользователь должен иметь доступ к редактированию всех публикаций на сайте. Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.