[url] Espace client

Information importante

En raison d'un grand nombre d'inscriptions de spammers sur notre site, polluant sans relache notre forum, nous suspendons la création de compte via le formulaire de "sign up".

Il est néanmoins toujours possible de devenir adhérent•e en faisant la demande sur cette page, rubrique "Inscription" : https://www.drupal.fr/contact


De plus, le forum est désormais "interdit en écriture". Il n'est plus autorisé d'y écrire un sujet/billet/commentaire.

Pour contacter la communauté, merci de rejoindre le slack "drupalfrance".

Si vous voulez contacter le bureau de l'association, utilisez le formulaire disponible ici, ou envoyez-nous un DM sur twitter.

Submitted by tcharlyson on

Bonjour,

Avec le module EntityReference, j'ai lié des pages de contenus à différents utilisateurs afin que ceux ci puissent obtenir un récapitulatif de leurs informations.
Tout fonctionne à merveille. Cependant si l'utilisateur est malin, il lui suffit de changer l'URL (xxxx.com/node/1 -> xxxx.com/node/2) pour accéder à la page réservée au second utilisateur.

L'affichage se fait via une view, peut être faut-il rajouter un filtre, ou une manipulation existe. Merci d'avance pour l'aide que vous m'apporterez !

Forum : 
Développement
Version de Drupal : 
7.x
Tags : 
#security #espaceclient

Soumis par Mixalis44 le 7 Octobre, 2015 - 14:16

Dans un hook_node_view() tu test si tu est sur un node de type 'information' et en full et tu return un drupal_access_denied().

Et si tu veux etre moins violent, tu compare la valeur du champ user avec l'utilisateur courrant (global $user)