[Profile] profile_update n'est pas restreint à son propriétaire #33

New Issue

Fred · 2020-10-27T17:42:54+01:00

Fred commented

2020-10-27 17:42:54 +01:00

Hello,

La fonction profile_update n'est pas restreinte à son propriétaire.

Si un utilisateur (connecté) accède à la page /profile_update/1, il pourra la modifier sans aucune vérification.

Il faudrait avant tout vérifier que l'utilisateur qui accède au profil correspond bien à celui qui lui est associé.

Par exemple, de la manière suivante:

profile = get_object_or_404(Profile, pk=profileid)

if profile.user != request.user:
	raise AuthenticationException("...")

[...]

Hello, La fonction `profile_update` n'est pas restreinte à son propriétaire. Si un utilisateur (connecté) accède à la page `/profile_update/1`, il pourra la modifier sans aucune vérification. Il faudrait avant tout vérifier que l'utilisateur qui accède au profil correspond bien à celui qui lui est associé. Par exemple, de la manière suivante: ```python profile = get_object_or_404(Profile, pk=profileid) if profile.user != request.user: raise AuthenticationException("...") [...] ```

Fred referenced this issue from a commit

2020-10-27 17:48:20 +01:00

Review `profile` app In principle, it only contains documentation changes Remarks have been sent as tickets: * #34 * #33

Fred added this to the Revue de l'application `profile` milestone 2020-10-28 09:24:17 +01:00

Sulley commented

2020-11-01 16:40:57 +01:00

AuthenticationException ne semble pas exister dans la doc Django, j'utilise donc PermissionDenied…

`AuthenticationException` ne semble pas exister dans la doc Django, j'utilise donc `PermissionDenied`…

Sulley self-assigned this 2020-11-01 16:41:04 +01:00

Sulley referenced this issue from a commit

2020-11-01 16:42:36 +01:00

Close #33