Bonjour la liste,
Spip 2.1 et 2.0
Il me semble que lorsqu'on interdit la modification des mot clef, il est
possible malgré tout -sous certaines conditions- de les supprimer via
url browsing.
Explication :
Dans mes_fonctions.php :
function autoriser_mot_modifier($faire, $type, $id, $qui, $opt) {
return false ;
}
http://monsite/ecrire/?exec=mots_tous
Le lien "supprimez ce mot" (qui n'apparait pas lorsqu'on n'a pas les
droits de modifier les mots clefs) possède un hash lorsque ce mot n'est
lié à aucun article mais n'en possède pas si le mot est lié à au moins
un article.
Dans ce dernier cas le hash est créé lors d'une étape intermédiaire qui
précise le nombre d'article(s)/rubrique(s)/breves(s) auquel est lié ce
mot clef et demande la confirmation de la suppression. Ce lien avec le
hash est alors envoyé au navigateur quelque soit les droits de la
personne.
Aussi lorsqu'un mot clef est lié à au moins un article, en tapant
l'url :
http://monsite/ecrire/?exec=mots_tous&conf_mot=6&na=1&nb=0&nr=0&ns=0&son_groupe=1#editer_mots-1
(pour un mot clef d'id_mot 6 appartenant au groupe de mot clef d'id 1)
On arrive sur la page de demande de confirmation de suppression avec un
hash tout frais qui permet la suppression même si on n'a pas les droits
pour modifier les mots clefs.
Une solution pour régler le problème est de ne calculer et d'envoyer
l'encart de demande de confirmation uniquement qu'aux personnes ayant
les droits de modifier les mots.
Patch ci-joint pour ecrire/exec/mots_tous.php sur spip 2.0
Idem sur 2.1 (testé en local)
Stéphane
mots_tous.patch (535 Bytes)