[Corrigé 3.1.32] cloisonnement sur des tickets d'une société

Vous avez trouvé un bug dans l'application (dernière version stable ou bêta): Décrivez le ici afin que la correction soit intégrée a la prochaine version.
Répondre
Avatar du membre
Flox
Administrateur du site
Messages : 9404
Enregistré le : jeu. 21 juin 2012 19:00

Bonjour,

pour votre "client global", le profil est il bien "utilisateur avec pouvoir" car par défaut il n'a pas accès au menu activité.

Pour le filtre par company je regarde cela rapidement.

Cdt
GestSup: 3.2.47 | Debian: 12 | Apache: 2.4.59 | MariaDB: 11.5.2 | PHP: 8.3.12 | https://doc.gestsup.fr/
fja
Gsup LEVEL 0
Messages : 7
Enregistré le : ven. 27 avr. 2018 10:19

Oui le client global a le profil "utilisateur avec pouvoir" mais pas par défaut, Quel est le paramètre qui gère cet aspect ?
Je pourrais le cacher mais cela me restreint les fonctionnalités pour le profil.

Merci pour votre réponse rapide.

Cordialement.
Avatar du membre
Flox
Administrateur du site
Messages : 9404
Enregistré le : jeu. 21 juin 2012 19:00

Le droit est userbar est n'est pas conçu pour être utilisé par des utilisateurs ou utilisateur avec pouvoir.
GestSup: 3.2.47 | Debian: 12 | Apache: 2.4.59 | MariaDB: 11.5.2 | PHP: 8.3.12 | https://doc.gestsup.fr/
Avatar du membre
Flox
Administrateur du site
Messages : 9404
Enregistré le : jeu. 21 juin 2012 19:00

Pour le problème avec la vue société pouvez tester de modifier le fichier ./dashboard.php comme ci-après:

remplacer:

Code : Tout sélectionner

if (($rparameters['user_company_view']==1) && ($rright['side_company']!=0) && $_GET['companyview']==1)
par

Code : Tout sélectionner

if (($rparameters['user_company_view']==1) && ($rright['side_company']!=0 && ($_GET['companyview']==1 || $_GET['companyview']==0)))
Cdt
GestSup: 3.2.47 | Debian: 12 | Apache: 2.4.59 | MariaDB: 11.5.2 | PHP: 8.3.12 | https://doc.gestsup.fr/
fja
Gsup LEVEL 0
Messages : 7
Enregistré le : ven. 27 avr. 2018 10:19

bonjour,

Je viens de faire la modification et les tests, le correctif ne corrige que la situation du changement de valeur de 1 par 0, il faut être plus général car la faille est de nouveau présente en changeant la valeur par une autre.
Je ne sait pas l'impact de ce test companyview sur le programme mais si nous supprimons simplement ce test, cela corrige la situation dans sa globalité.

if (($rparameters['user_company_view']==1) && ($rright['side_company']!=0 /*&& ($_GET['companyview']==1 || $_GET['companyview']==0)*/))

Que fait ce test ?

cordialement.
Avatar du membre
Flox
Administrateur du site
Messages : 9404
Enregistré le : jeu. 21 juin 2012 19:00

Bonjour,

il s'agit d'optimiser les requêtes en réalisant uniquement les jointures nécessaires.

Je vous laisse valider que la modification ci-après ne pose pas de soucis avec les autres vues:

Code : Tout sélectionner

if ($rparameters['user_company_view']==1 && $rright['side_company']!=0)
Cdt
GestSup: 3.2.47 | Debian: 12 | Apache: 2.4.59 | MariaDB: 11.5.2 | PHP: 8.3.12 | https://doc.gestsup.fr/
fja
Gsup LEVEL 0
Messages : 7
Enregistré le : ven. 27 avr. 2018 10:19

Merci de votre réponse,

Comme indiquée précédemment je n'ai pas la vision globale, donc je ne peux pas valider si avec les autres vues cela fonctionne. Ce que je peux dire ; la modification apportée (if (($rparameters['user_company_view']==1) && ($rright['side_company']!=0))) ne permet plus à un utilisateur avec pouvoir de visualiser la totalité des tickets présent dans l'application.

Est ce que cette modification sera apportée sur la prochaine version stable ? :? (Je présume que la base démo sur le site gestsup n'est pas modifiée, car je réitère l'erreur).

Cordialement.
Avatar du membre
Flox
Administrateur du site
Messages : 9404
Enregistré le : jeu. 21 juin 2012 19:00

Bonjour,

la correction sera intégré dans la prochaine version de l'application, des tests additionnels sont en cours pour valider que la modification n'impact pas les autres vues de la liste des tickets du logiciel.

La version de démonstration n'a pas encore été patchée.

Cdt
GestSup: 3.2.47 | Debian: 12 | Apache: 2.4.59 | MariaDB: 11.5.2 | PHP: 8.3.12 | https://doc.gestsup.fr/
fja
Gsup LEVEL 0
Messages : 7
Enregistré le : ven. 27 avr. 2018 10:19

Merci de votre retour et de la prise en compte de ce ticket.

cordialement.
Répondre