blackanger 2007-7-26 10:20
redMine的bug
用admin管理员身份登陆,然后在用户列表那把自己的管理员身份那一栏的勾去掉,会出现403错误,但是显示更新成功,注销以后重新登录,就不是管理员身份了。。。
blackanger 2007-7-26 10:44
是啊,实际应用一般是没人这么做的。。。但是我试了一下,不应该出错了还对数据库进行操作。。。所以说是个bug
admin 2007-7-26 10:49
还记得Depot那个程序吗?里面就提到了将最后一个管理员删除的结果。所以应该raise一个异常,don't delete dave. :D
blackanger 2007-7-26 10:55
恩,我知道那个,可是这个情况和那个不一样,我以admin这个用户名登录,执行的是只有管理员才能执行的动作,现在自己取消自己的管理员权限,本来是不允许这么做的,所以就算你把管理员前面的勾去掉,数据库里面的admin值也不应该改变。。。我的意思就是程序出错了之后,不能更改数据库相应的值。。。
blackanger 2007-7-26 10:56
他这也报异常了,depot报了异常,但没有在数据库里把那个用户删掉吧。。。。可是redmine确报了异常之后,数据库里照样修改了值,不知道我说清楚没有。。。
blackanger 2007-7-26 11:01
就拿depot来比较,我的意思是说redmine没有depot那么安全。。。呵呵,你不要哪天觉得好玩把自己管理员的勾去掉呀
blackanger 2007-7-26 11:03
depot里设定的方法比较死。。。管理员想换名字还得去改代码才能保证安全。redmine只是不能自己登录了来删自己登录的这个帐号
admin 2007-7-26 11:04
[quote]原帖由 [i]blackanger[/i] 于 2007-7-26 11:01 发表 [url=http://ruby-lang.org.cn/forums/redirect.php?goto=findpost&pid=1821&ptid=528][img]http://ruby-lang.org.cn/forums/images/common/back.gif[/img][/url]
就拿depot来比较,我的意思是说redmine没有depot那么安全。。。呵呵,你不要哪天觉得好玩把自己管理员的勾去掉呀 [/quote]
刚才正在考虑要不要取消自己的管理权限。哈哈。
Redmine才0.5版,以后会很好的。如果不行,我们自己也可以修改源代码。
blackanger 2007-7-26 11:06
redmine这种方法也保证不会出现没有管理员那种情况。。。。只是他出错了还会去操作数据库,这个就 接受不了了, 去看源码了。。。不知道我说清楚没有,呵呵
blackanger 2007-7-26 11:08
哈哈,那你小心了。。。是的,我们可以自己修改,我只是说出来让大家知道有这么个bug,呵呵