Discussion :

[Niki59]

Bonjour,

Je dispose d'un espace membre sur mon application symfony.
Chaque membre peux créer/éditer un article.

Cependant dans l'url de la page on peut y voir l'id de l'article en cours d'édition ou visualisation.

Du coup, un autre membre qui est connecté peut voir/editer un autre article en changeant l'id dans l'url.

Savez-vous comment est-ce que je peut empêcher ca ?

Est-ce que je dois faire un controle dans l'action à chaque tentative de visualiation/edition pour vérifier que le membre qui regarde est bien l'auteur connecté sur son compte (et pas un autre) ?
Il n'y a pas une solution pus simple et déjà intégré à symfony ? (je pense aux routes par exemple)

Merci

[winzou]

Salut,

Bien sur tu dois verifier que celui qui veut editer un article en est bien l'auteur !
Tu dois pouvoir le faire avec les ACL, ils te permettent de parametrer finement des droits par objet (du moins pour Symfony2, mais il doit y avoir un equivalent avec sf1).

[Michel Rotta]

Je pars du principe que tu es en sf1. Donc pas d'ACL.

Tu as probablement un moyen de ne récupérer que les articles d'un membre. L'idée la plus simple est d'utiliser des sfDoctrineRoute (ou collection) et de changer le paramètre qui défini la méthode qui permet de récupérer les données. Dans cette méthode (qui fait partie du modèle) tu auras ta condition qui limite la recherche aux articles du membre connecté. Soit il est dedans et tu as un article en retour, soit non et la route génère une erreur 404.

Avantage, cela marche avec peu de modification avec des id ou des slug.

[Niki59]

L'idée la plus simple est d'utiliser des sfDoctrineRoute (ou collection) et de changer le paramètre qui défini la méthode qui permet de récupérer les données.

J'adopte cette solution. Merci à vous deux