Django-fr

Forum

#1 02-08-2017 14:27:35

Sk34Zz
Membre
Inscription : 02-08-2017
Messages : 1

Permission d'accès à une page

Bonjour,

je me suis mis récemment à Django, et je suis entrain de construire mon petit "blog".

J'ai implémenté les différentes fonction CRUD (Create, Read, Update, Delete), et j'ai remarqué un problème de sécurité:

J'ai mis en place des condition "IF" dans mes templates pour cacher l'accés aux boutons "Edit" et "Delete" quand un autre utilisateur accède à mes articles. Cependant, si celui-ci entre l'url manuellement, il aura accès à ces fonctions !

J'ai déjà protégé ces fonctions contre les personnes non connectées avec "@login_required" dans mon fichier "views.py", mais je ne trouve rien pour que seulement la personne qui a créé l'article puisse le modifier/supprimer.

Mes articles possèdent tous une PrimaryKey, que je peux comparer a l'utilisateur qui visite actuellement la page si jamais cela peut aider ! smile


merci d'avance !

Hors ligne

Pied de page des forums