Пользователи могут редактировать чужие Тикеты

1 2 000
Добрый день!

Сегодня заметил странную особенность на своем сайте, пользователь может редактировать Тикет другого пользователя и успешно сохранять изменения, для этого достаточно изменить ID тикета /?tid=516 при редактировании.

Есть страница для изменения Тикета с вызовом [[!TicketForm?]] я так понимаю здесь нужно условие создать: если запись не принадлежит пользователю, значит показать строку «Вы пытаетесь обновить тикет, который вам не принадлежит.»

Или лишние действия позволил пользователям группе в настройках безопасности?

Конструкция [[!*createdby:is=`[[+modx.user.id]]`:then=`[[!TicketForm?]]`]] не работает.

Подскажите пожалуйста где ошибка и как лучше исправить?

Спасибо!
Rrp2010
06 октября 2015, 12:11
modx.pro
1
1 032
0

Комментарии: 2

06 октября 2015, 15:43
+1
я так понимаю здесь нужно условие создать: если запись не принадлежит пользователю, значит показать строку «Вы пытаетесь обновить тикет, который вам не принадлежит.»
Это там уже и так есть.

Редактировать чужой тикет может только юзер с правом edit_document. Видимо ты дал такие права всем своим пользователям.
    Rrp2010
    06 октября 2015, 21:57
    +2
    Василий, спасибо большое! Исправил права пользователей и все ок.

    Вообще, спасибо отдельное за все дополнения, важные не только для сообщества, но и для всего человечества. )
    Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
    2