Ticket #397 (closed バグ指摘: 修正済)
支払方法を選択せずに確認画面へ進むと不正なアクセスになる。
Reported by: | homan | Owned by: | somebody |
---|---|---|---|
Priority: | 中 | Milestone: | EC-CUBE |
Component: | フロント | Version: | 2.3.0 |
Keywords: | Cc: | homan | |
修正済み: |
Description
「お支払方法選択時に正常に遷移しない場合がある不具合について 」( http://www.ec-cube.net/info/081110/index.php)を実施後、支払方法を選択せずに確認画面へ進むと不正なアクセスになります。
参考: http://xoops.ec-cube.net/modules/newbb/viewtopic.php?viewmode=flat&topic_id=3031&forum=11
原因は明らかですが、エラーチェックの際に支払方法が選択されていないと支払方法の比較ができないため、$pay_flagが直ちにtrueになってしまうため。
以下のようにすれば解決されるかと思いますが、 その結果セキュリティチェックを逃れることにならないか懸念しています。 (たぶん大丈夫だとは思うのですが・・・念のため確認させて下さい。)
if ($pay_flag && $arrRet['payment_id'] != "") { SC_Utils_Ex::sfDispSiteError(CUSTOMER_ERROR); }
Change History
Note: See
TracTickets for help on using
tickets.
ありがとうございます。
ご提案いただいた対応で問題ないと思います。
次期バージョンでの対応を検討させていただきます。