Управление доп. полем

[KAS 6]

Допустим есть 3 доп. поля

1. Текст

2. Файл

3. Картинка

 

И есть группа "Пупсики"

У неё есть разрешение на правку только поля 1. Текст, то эта группа не может добавлять файлы и картинки в остальные поля, НО они могут удалить то, что есть в этих полях, хотя по логике у них не должно быть кнопки Удалить, а в идеале вообще не должны эти поля показываться при редактировании.

[celsoft 5 986]

проблема не подтверждена. Поля которые не разрешены для добавления для группы. При редактировании не выводится при редактировании новости, а их редактирование не учитывается.

[Mr. Bot 26]

В 21.08.2020 в 14:50, celsoft сказал:

проблема не подтверждена. Поля которые не разрешены для добавления для группы. При редактировании не выводится при редактировании новости, а их редактирование не учитывается.

Ту же картинку он может через окно загрузки файлов удалить, и в доп. поле её так же уже не будет, так что в какой то мере это не пофиксить даже настройкой прав.

[celsoft 5 986]

15 часов назад, Mr. Bot сказал:

Ту же картинку он может через окно загрузки файлов удалить, и в доп. поле её так же уже не будет, так что в какой то мере это не пофиксить даже настройкой прав.

Может, но это уже не связано с правами на доп. поля. Все картинки привязаны к новости, а не к полям. И могут быть использованы в любых полях, и нескольких одновременно, а не только в одном конкретном. Это вам уже нужно исправлять сознание своих пользователей. И запрещать загрузку и управление изображениями. Они общие на всю новость, таковыми и останутся потому как это обеспечивает дополнительные возможности для публикации разного контента, без необходимости повторной загрузки одного и того же

[Mr. Bot 26]

13 минут назад, celsoft сказал:

Может, но это уже не связано с правами на доп. поля. Все картинки привязаны к новости, а не к полям. И могут быть использованы в любых полях, и нескольких одновременно, а не только в одном конкретном. Это вам уже нужно исправлять сознание своих пользователей. И запрещать загрузку и управление изображениями. Они общие на всю новость, таковыми и останутся потому как это обеспечивает дополнительные возможности для публикации разного контента, без необходимости повторной загрузки одного и того же

Первое правило разработчика, не доверять пользователям.
Насколько я помню, судя по коду, можно подсунуть в доп. поле в POST изображение чужой новости, и потом при редактировании удалить изображение чужой новости, т.к. при удалении изображения из доп. поля, не проверяется вроде бы чьей новости принадлежит изображение.

[celsoft 5 986]

44 минуты назад, Mr. Bot сказал:

Первое правило разработчика, не доверять пользователям.

Причем здесь доверие разработчика к пользователям? Здесь речь идет о доверии администратора сайта к тому кому он дает доступ редактировать контент. Здесь нет нарушений доверия от DLE к пользователю. Я вам написал что картинки едины для всей!!! публикации и могут быть использованы в любом !!! поле, а загружены один раз. Это сделано умышленно!!! и по причинам сказанным ранее, а не нарушение доверия.

 

44 минуты назад, Mr. Bot сказал:

Насколько я помню, судя по коду, можно подсунуть в доп. поле в POST изображение чужой новости, и потом при редактировании удалить

Плохо помните. Если пользователю разрешен доступ к публикации, он сможет управлять, если нет то нет. И ничего подсовывать при этом не нужно, достаточно вызвать список изображений через стандартную кнопку управления изображениями в редакторе. А попытаться подсунуть что то, в DLE не получится, он проверяет возможность доступа. Картинка должна либо принадлежать пользователю, т.е. находится в его публикации и ему разрешено управление картинками, либо пользователь должен иметь доступ к редактированию всех публикаций на сайте.