[Profile] profile_update n'est pas restreint à son propriétaire #33
Labels
No Label
bug
duplicate
enhancement
help wanted
invalid
question
wontfix
No Milestone
No Assignees
2 Participants
Notifications
Due Date
No due date set.
Dependencies
No dependencies set.
Reference: Sulley/khana#33
Loading…
Reference in New Issue
No description provided.
Delete Branch "%!s(<nil>)"
Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?
Hello,
La fonction
profile_update
n'est pas restreinte à son propriétaire.Si un utilisateur (connecté) accède à la page
/profile_update/1
, il pourra la modifier sans aucune vérification.Il faudrait avant tout vérifier que l'utilisateur qui accède au profil correspond bien à celui qui lui est associé.
Par exemple, de la manière suivante:
AuthenticationException
ne semble pas exister dans la doc Django, j'utilise doncPermissionDenied
…