EasyiiCMS - очередная CMS?

[noumo]

А почему удаление через GET ?

А как правильно? через POST, DELETE ?
Я пока по этому поводу не заморачивался и сделал, чтобы работало через простейшие ссылки(на случай если js сломался или отключен).

[xoma]

Лучше через POST + CSRF валидация, тогда боты и поисковые роботы точно ничего не снесут.

[S c]

на случай если js сломался или отключен.

С этим уже не стоит заморачиваться вообще. Я уверен с отключенным js-ом в принципе вас проект корректно работать не будет, если вообще хоть как то будет работать.

p.s. по поводу удаления - посмотрите в сторону грида и его buttomColumn. Так же можно фильтр поставить для экшена, например postOnly

[noumo]

Лучше через POST + CSRF валидация, тогда боты и поисковые роботы точно ничего не снесут.

Спасибо за совет, надо будет глянуть в этом направлении, хотя конечно когда поисковый бот проникает в админку это уже ситуация из ряда вон.

на случай если js сломался или отключен.

С этим уже не стоит заморачиваться вообще. Я уверен с отключенным js-ом в принципе вас проект корректно работать не будет, если вообще хоть как то будет работать.

p.s. по поводу удаления - посмотрите в сторону грида и его buttomColumn. Так же можно фильтр поставить для экшена, например postOnly

Ну с отключенным js админка функционирует на 80%, но я согласен с тем что особо гнаться за этим не стоит.

[zelenin]

здесь проблема даже не в GET - при желании можно и post'ом пробежаться. Главная проблема, что нет вообще никакой проверки прав. Зная ссылку, можно незалогиненным удалять все и вся. Поправьте, если я не не нашел.

[noumo]

здесь проблема даже не в GET - при желании можно и post'ом пробежаться. Главная проблема, что нет вообще никакой проверки прав. Зная ссылку, можно незалогиненным удалять все и вся. Поправьте, если я не не нашел.

На основании чего вы сделали такой вывод?

Есть демо сайт
http://demo.easyiicms.com

Попробуйте без авторизации сделать хоть какое нибудь действие доступное в админке, например:
http://demo.easyiicms.com/admin/news/a/delete/3

[zelenin]

здесь проблема даже не в GET - при желании можно и post'ом пробежаться. Главная проблема, что нет вообще никакой проверки прав. Зная ссылку, можно незалогиненным удалять все и вся. Поправьте, если я не не нашел.

На основании чего вы сделали такой вывод?

Есть демо сайт
http://demo.easyiicms.com

Попробуйте без авторизации сделать хоть какое нибудь действие доступное в админке, например:
http://demo.easyiicms.com/admin/news/a/delete/3

на основании просмотра кода. естественно все не просмотрел - могу ошибаться. киньте линк на гитхаб, где чекаются права.

[noumo]

здесь проблема даже не в GET - при желании можно и post'ом пробежаться. Главная проблема, что нет вообще никакой проверки прав. Зная ссылку, можно незалогиненным удалять все и вся. Поправьте, если я не не нашел.

На основании чего вы сделали такой вывод?

Есть демо сайт
http://demo.easyiicms.com

Попробуйте без авторизации сделать хоть какое нибудь действие доступное в админке, например:
http://demo.easyiicms.com/admin/news/a/delete/3

на основании просмотра кода. естественно все не просмотрел - могу ошибаться. киньте линк на гитхаб, где чекаются права.

Все контроллеры админки наследуют этот класс:

https://github.com/noumo/easyii/blob/ma ... roller.php

Здесь в beforeAction() 24-27 строка:

Код: Выделить всё

        if(Yii::$app->user->isGuest){
            Yii::$app->user->setReturnUrl(Yii::$app->request->url);
            return $this->redirect(['/admin/sign/in']);
        }

Если найдете ошибку, конечно буду очень благодарен

[zelenin]

ну да. реализуйте рбак лучше.

[zelenin]

http://demo.easyiicms.com/admin/news/a/delete/3 вот эта ссылка кстати меня не редиректит на логин, а значит проверка на гостя не срабатывает. верно?

[noumo]

http://demo.easyiicms.com/admin/news/a/delete/3 вот эта ссылка кстати меня не редиректит на логин, а значит проверка на гостя не срабатывает. верно?

Срабатывает, но там действительно был косяк. Хорошо что обнаружили

[maska]

github плохо знаю, скажите как обновлять, а то гляжу уже обновления появились

[noumo]

github плохо знаю, скажите как обновлять, а то гляжу уже обновления появились

К сожалению в новой версии слишком много изменений и обновление практически невозможно, поэтому лучше воспринимайте это как новый продукт.
П.С. скоро напишу новость о релизе, где все подробно опишу.

[maska]

я вот так устанавливал composer create-project noumo/easyii-shop temp dev-master

[noumo]

я вот так устанавливал composer create-project noumo/easyii-shop temp dev-master

Все верно

[maska]

http://demo.easyiicms.com/admin/news/a/delete/3 вот эта ссылка кстати меня не редиректит на логин, а значит проверка на гостя не срабатывает. верно?

Срабатывает, но там действительно был косяк. Хорошо что обнаружили

как убрать у себя этот косяк ?

[noumo]

http://demo.easyiicms.com/admin/news/a/delete/3 вот эта ссылка кстати меня не редиректит на логин, а значит проверка на гостя не срабатывает. верно?

Срабатывает, но там действительно был косяк. Хорошо что обнаружили

как убрать у себя этот косяк ?

Легче всего будет руками(один фиг старая версия больше обновляться не будет) изменить файл

Код: Выделить всё

vendor/noumo/easyii/components/Controller.php

как здесь:
https://github.com/noumo/easyii/commit/ ... 4d42c4b8f4

[maska]

можно узнать а какая версия будет обновляться ?
какую ставить ?

[noumo]

можно узнать а какая версия будет обновляться ?
какую ставить ?

Ставьте последнюю, она будет обновляться.

[maska]

спасибо, так и сделаю