| |||||||||
| |||||||||
28.10.2014 17:20
К сожалению права администратора настолько широки, что сделать из него торговцев с ограниченными правами - не получится, к тому же я не так параноидально проверяю отправляемые админом данные, как проверяю у простых юзеров, поэтому все равно найдут лазейку куда шелл воткнуть или JS для угонов кук.
Движок рассчитан на благоразумных админов, без вредительских целей.
По другому администрирование магазина невозможно, без редактора карточек товара, загрузки фото в галерею и прочее.
Админ может шелл качнуть просто загрузив фото в галерею, так как фотки при загрузке не изменяются и вредоносный код не обрежется.
добавление юзеров типа торговец потребует модернизации ВСЕХ модулей. Эти затраты обойдуться дороже и по времени дольше чем нормальное SAAS решение изолированных виртуальных директорий.
Движок рассчитан на благоразумных админов, без вредительских целей.
По другому администрирование магазина невозможно, без редактора карточек товара, загрузки фото в галерею и прочее.
Админ может шелл качнуть просто загрузив фото в галерею, так как фотки при загрузке не изменяются и вредоносный код не обрежется.
добавление юзеров типа торговец потребует модернизации ВСЕХ модулей. Эти затраты обойдуться дороже и по времени дольше чем нормальное SAAS решение изолированных виртуальных директорий.