А как правильно? через POST, DELETE ?xoma писал(а):А почему удаление через GET ?
Я пока по этому поводу не заморачивался и сделал, чтобы работало через простейшие ссылки(на случай если js сломался или отключен).
А как правильно? через POST, DELETE ?xoma писал(а):А почему удаление через GET ?
С этим уже не стоит заморачиваться вообще. Я уверен с отключенным js-ом в принципе вас проект корректно работать не будет, если вообще хоть как то будет работать.noumo писал(а): на случай если js сломался или отключен.
Спасибо за совет, надо будет глянуть в этом направлении, хотя конечно когда поисковый бот проникает в админку это уже ситуация из ряда вон.xoma писал(а):Лучше через POST + CSRF валидация, тогда боты и поисковые роботы точно ничего не снесут.
Ну с отключенным js админка функционирует на 80%, но я согласен с тем что особо гнаться за этим не стоит.S c писал(а):С этим уже не стоит заморачиваться вообще. Я уверен с отключенным js-ом в принципе вас проект корректно работать не будет, если вообще хоть как то будет работать.noumo писал(а): на случай если js сломался или отключен.
p.s. по поводу удаления - посмотрите в сторону грида и его buttomColumn. Так же можно фильтр поставить для экшена, например postOnly
На основании чего вы сделали такой вывод?zelenin писал(а):здесь проблема даже не в GET - при желании можно и post'ом пробежаться. Главная проблема, что нет вообще никакой проверки прав. Зная ссылку, можно незалогиненным удалять все и вся. Поправьте, если я не не нашел.
на основании просмотра кода. естественно все не просмотрел - могу ошибаться. киньте линк на гитхаб, где чекаются права.noumo писал(а):На основании чего вы сделали такой вывод?zelenin писал(а):здесь проблема даже не в GET - при желании можно и post'ом пробежаться. Главная проблема, что нет вообще никакой проверки прав. Зная ссылку, можно незалогиненным удалять все и вся. Поправьте, если я не не нашел.
Есть демо сайт
http://demo.easyiicms.com
Попробуйте без авторизации сделать хоть какое нибудь действие доступное в админке, например:
http://demo.easyiicms.com/admin/news/a/delete/3
Все контроллеры админки наследуют этот класс:zelenin писал(а):на основании просмотра кода. естественно все не просмотрел - могу ошибаться. киньте линк на гитхаб, где чекаются права.noumo писал(а):На основании чего вы сделали такой вывод?zelenin писал(а):здесь проблема даже не в GET - при желании можно и post'ом пробежаться. Главная проблема, что нет вообще никакой проверки прав. Зная ссылку, можно незалогиненным удалять все и вся. Поправьте, если я не не нашел.
Есть демо сайт
http://demo.easyiicms.com
Попробуйте без авторизации сделать хоть какое нибудь действие доступное в админке, например:
http://demo.easyiicms.com/admin/news/a/delete/3
Код: Выделить всё
if(Yii::$app->user->isGuest){
Yii::$app->user->setReturnUrl(Yii::$app->request->url);
return $this->redirect(['/admin/sign/in']);
}
Срабатывает, но там действительно был косяк. Хорошо что обнаружилиzelenin писал(а):http://demo.easyiicms.com/admin/news/a/delete/3 вот эта ссылка кстати меня не редиректит на логин, а значит проверка на гостя не срабатывает. верно?
К сожалению в новой версии слишком много изменений и обновление практически невозможно, поэтому лучше воспринимайте это как новый продукт.maska писал(а):github плохо знаю, скажите как обновлять, а то гляжу уже обновления появились
Все верноmaska писал(а):я вот так устанавливал composer create-project noumo/easyii-shop temp dev-master
как убрать у себя этот косяк ?noumo писал(а):Срабатывает, но там действительно был косяк. Хорошо что обнаружилиzelenin писал(а):http://demo.easyiicms.com/admin/news/a/delete/3 вот эта ссылка кстати меня не редиректит на логин, а значит проверка на гостя не срабатывает. верно?
Легче всего будет руками(один фиг старая версия больше обновляться не будет) изменить файлmaska писал(а):как убрать у себя этот косяк ?noumo писал(а):Срабатывает, но там действительно был косяк. Хорошо что обнаружилиzelenin писал(а):http://demo.easyiicms.com/admin/news/a/delete/3 вот эта ссылка кстати меня не редиректит на логин, а значит проверка на гостя не срабатывает. верно?
Код: Выделить всё
vendor/noumo/easyii/components/Controller.php
Ставьте последнюю, она будет обновляться.maska писал(а):можно узнать а какая версия будет обновляться ?
какую ставить ?