Админ может добавлять оплаты несмотря на отсутствие прав

chtito2 · Вт янв 20, 2009 2:00 pm

У админа Admin1 следующие права:
Payments: list
Fees: list
но несмотря на это он может делать снятия (Fees):

8232 mylogin 2009-01-16 00:00:00 60.00 Абон. плата за месяц: 60.00 (2) Periodic payments Admin1 10.0.0.1 45.000000 4475 Delete
8231 mylogin 2009-01-16 15:32:19 15.00 ACTIV TP One time Admin1 10.0.0.1 60.000000 4475 Delete

и оплаты

1664 mylogin 2009-01-20 17:51:25 111111.00 Admin1 10.0.0.1 0.000000 Cash 4527 Delete

Куда копать?

chtito2 · Вт янв 20, 2009 2:28 pm

Уже нашел почему: в момент месячных снятий и снятий за активацию юзера почему-то указывается имя зарегистрировавшего его админа, а не системный.

ran · Сообщение **ran** » Вт янв 20, 2009 3:07 pm

нифига подобного - делаю себе тока список и у меня формы ввода снятия/оплат исчезают

chtito2 · Вт янв 20, 2009 3:10 pm

Да у меня тоже, но...

Уже нашел почему: в момент месячных снятий и снятий за активацию юзера почему-то указывается имя зарегистрировавшего его админа, а не системный.

т.е. фактически это делает система, но под ником зарегавшего администратора. Конечно же это неправильно

ran · Сообщение **ran** » Вт янв 20, 2009 3:19 pm

та ну

2977 aaaa1 2009-01-01 00:00:00 230.00 Абон. плата за месяц (30007) Периодические платежи abills

chtito2 · Вт янв 20, 2009 3:21 pm

А какое это поле последнее? Заголовки мона?

ran · Сообщение **ran** » Вт янв 20, 2009 3:22 pm

админ

chtito2 · Вт янв 20, 2009 6:58 pm

Понял вас. У меня тоже большинство снятий под юзером abills и происходят до сих пор. Самое странное, что некоторые из них происходят из под админа admin1.
Вот системное снятие:

8726 user1 2009-01-20 00:00:00 80.00 Абон. плата за месяц (10) Periodic payments abills

А вот под админом admin1:

8735 user2 2009-01-20 00:00:00 30.00 Абон. плата за месяц: 30.00 (5) Periodic payments admin1

Прошу обратить внимание на следующее:
- Время 00:00:00 не случайное: это время ежемесячных снятий;
- При снятии юзером admin1 в комментарии к действию откуда-то добавляется сумма снятия 30.00, при юзере abills этого не происходит;
- У юзера admin1 нет прав на снятия;
- IP с которого произошло (не указан) у abills 127.0.0.1, а у admin1 - реальный, откуда админ работает.

Пока не могу понять что происходит. В код смотреть боюс

chtito2 · Вт янв 20, 2009 8:46 pm

Локализовал проблему в cgi-bin/admin/index.cgi. Там вобще каша творится, завтра доделаю.

RusB1T · Ср янв 21, 2009 2:47 am

Код: Выделить всё

$conf{SYSTEM_ADMIN_ID}=1;

chtito2 · Ср янв 21, 2009 8:36 am

Так и стоит. Как я написал

У меня тоже большинство снятий под юзером abills и происходят до сих пор. Самое странное, что некоторые из них происходят из под админа admin1.

или любого другого работающего с юзерами админа. Щас буду смотреть в index.cgi почему.