Form Parameter updaten

xerox8521 · Dec 29th 2022

Hallo,

habe gerade das Problem das ein Eintrag nur dann bearbeitet werden darf wenn der Eintrag vom Ersteller erstellt wurde. Jetzt ist es so das der Wert nachträglich in der create Methode erst beigefügt wird. Jetzt bin ich mir nicht sicher ob dieser Wert auch in der update Methode existiert.

Als Beispiel

PHP

public function create()
{
    if (!isset($this->parameters['data']['time']))
    {
        $this->parameters['data']['time'] = TIME_NOW;
    }
    if (!isset($this->parameters['data']['userID']))
    {
        $this->parameters['data']['userID'] = WCF::getSession()->userID;
    }
    return parent::create();
}

Display More

Meine Idee wäre jetzt das so umzusetzen:

PHP

public function update()
{
    if(isset($this->parameters['data']['userID']))
    {
        if($this->parameters['data']['userID'] === WCF::getUser()->userID)
        {
            parent::update();
        }
        else
            throw new PermissionDeniedException();
    }
    else
        throw new PermissionDeniedException();
}

Display More

Wäre das so Problemlos möglich?

Julian Pfeil · Dec 30th 2022

Hey,

also ich empfehle folgendes:

nutze in deiner DBO-Action-Klasse die validateUpdate()-Funktion der AbstractDBOAction (https://github.com/WoltLab/WCF…jectAction.class.php#L329) etwa so:

PHP

public function validateUpdate()
    {
parent::validateUpdate();

        if (!isset($this->parameters['data']['userID']) || $this->parameters['data']['userID'] != WCF::getUser()->userID) {
        throw new PermissionDeniedException();
}
    }

Die update()-Funktion brauchst du dann nur fürs Updaten, nicht für die Prüfung.

Ob das der beste Weg ist, kann ich dir nicht sagen. Aber sollte passen

xerox8521 · Dec 31st 2022

Hab es damit mal probiert wie du sagest aber macht leider keinen Unterschied. Müsste ich da nicht vom aktuellen Objekt, welches bearbeitet wird, da die userID auslesen und dann vergleichen. Wäre jetzt ein Gedanke der mir kam. Wobei ich mir dann nicht bin wie ich das Umsetzen würde.

PHP

public function validateUpdate()
{
    // Hatte das parent::validateUpdate() Testweise auch mal hier oben verlegt auch kein Unterschied.    
    if(!isset($this->parameters['data']['userID']))
    {
        throw new PermissionDeniedException();
    }
    if($this->parameters['data']['userID'] != WCF::getUser()->userID)
    {
        throw new PermissionDeniedException();
    }
    parent::validateUpdate();
}

Display More

Julian Pfeil · Dec 31st 2022

xerox8521 So weit hab ich nicht mehr gedacht, sorry

PHP

        foreach ($this->getObjects() as $objectEditor) {
            if ($objectEditor->userID != WCF::getUser()->userID) {
                throw new PermissionDeniedException();
            }
        }

xerox8521 · Dec 31st 2022

Nicht schlimm . Problem besteht leider weiterhin

PHP

public function validateUpdate()
{
    foreach($this->getObjects() as $objectEditor)
    {
        if($objectEditor->userID != WCF::getUser()->userID)
            throw new PermissionDeniedException();
    }
    parent::validateUpdate();
}

Julian Pfeil · Dec 31st 2022

Quote from xerox8521

Problem besteht leider weiterhin

Welches Problem?

Müsste so klappen, aber am besten du packst das parent::validateUpdate() an den Anfang.

xerox8521 · Jan 1st 2023

Das Problem das UserID 2 einen Eintrag von UserID 3 bearbeiten kann. Man soll halt nur seine eigenen erstellten Sachen bearbeiten können.

Julian Pfeil · Jan 1st 2023

Quote from xerox8521

Das Problem das UserID 2 einen Eintrag von UserID 3 bearbeiten kann. Man soll halt nur seine eigenen erstellten Sachen bearbeiten können.

Dann debugge doch einmal selbständig. Ich würde z. B. in der Funktion print_r($objectEditor->userID);exit; ausprobieren, um zu sehen, was rauskommt. Dann das gleiche mit WCF::getUser()->userID.

itsmeJAY · Jan 1st 2023

Quote from xerox8521

Das Problem das UserID 2 einen Eintrag von UserID 3 bearbeiten kann. Man soll halt nur seine eigenen erstellten Sachen bearbeiten können.

Hast Du im Objekt eine Eigenschaft, welche den „Eigentümer“ vom Eintrag speichert?

Ich habe es mal in der FooEditForm.class.php wie folgt gemacht. Es ist allerdings möglich, dass es irgendwie besser oder anders geht. Hat zumindest problemlos funktioniert.

Code

 public function readParameters()
    {
        if (isset($_REQUEST['id'])) {
            $company = new Company($_REQUEST['id']);

            if ($company->companyID > 0 && $company->userID === WCF::getUser()->userID) {
                $this->formObject = new Company($_REQUEST['id']);
            } else {
                throw new IllegalLinkException();
            }
        } else {
            throw new IllegalLinkException();
        }
    }

Display More

Und in der FooAction habe ich das Löschen wie folgt validiert. Damit eben User A nicht Einträge von User B löschen darf:

Code

public function validateDelete()
    {
        parent::validateDelete();

        foreach ($this->objects as $object) {
            if ($object->userID != WCF::getUser()->userID && WCF::getSession()->getPermission('admin.content.canManageCompanies') == 0) {
                throw new PermissionDeniedException();
            }
        }
    }

**Tim Düsterhus** · Jan 2nd 2023

Hallo,

hier fehlen ganz entscheidende Informationen: Wie wird die DBOAction überhaupt angesteuert?

Form Parameter updaten

Participate now!

Share