ここの情報は古いです。ご理解頂いた上でお取り扱いください。

Opened 11 years ago

Closed 11 years ago

#4057 closed defect (fixed)

ホーム画面で GETパラメータに id=他人のID を含ませると メンバー写真などが他人の物になる

Reported by: ShogoKawahara Owned by: ShogoKawahara
Priority: critical Milestone: OpenPNE3.0.6
Component: core Version: 3.0.x & 3.1.x
Keywords: OpenPNE3.1.1 Cc:

Description (last modified by ShogoKawahara)

概要

http://sns.example.com/?id=xx

のようにホーム画面において、他人のメンバーIDを指定すると、メンバー写真・フレンドリスト・コミュニティリストなどが他人のものになっている。

これは、PC版に起きています。

また、IDに関係のない文字列などを含めると500エラーとなります。

Fatal error: Call to a member function getName() on a non-object in ~~~~~~/apps/pc_frontend/templates/_partsMemberImageBox.php on line 4

原因

各ガジェットがリクエストのIDをそのまま利用しているためだと思われます。

備考

Change History (7)

comment:1 Changed 11 years ago by ShogoKawahara

Description: modified (diff)

comment:2 Changed 11 years ago by ShogoKawahara

Component: 指定しないcore

comment:3 Changed 11 years ago by ShogoKawahara

Owner: changed from nobody to ShogoKawahara
Status: newassigned

comment:4 Changed 11 years ago by ShogoKawahara

Note

プロフィール画面のガジェット対応の時 #3774 に発生した問題です。

comment:5 Changed 11 years ago by ShogoKawahara

Keywords: 確認中 added

r12092 (3.0.x)

r12090 (trunk)

修正しました。

comment:6 Changed 11 years ago by ebihara

Keywords: 確認中 removed
Summary: ホーム画面で GETパラメータに id=他人のID を含ませると メンバー写真などが他人も物になるホーム画面で GETパラメータに id=他人のID を含ませると メンバー写真などが他人の物になる

comment:7 Changed 11 years ago by ebihara

Resolution: fixed
Status: assignedclosed
Note: See TracTickets for help on using tickets.