チケット #397 (closed バグ指摘: 修正済)

登録: 2 ヶ月 前

最終更新: 2 ヶ月 前

支払方法を選択せずに確認画面へ進むと不正なアクセスになる。

報告者: homan 担当者: somebody
優先度: マイルストーン: EC-CUBE
コンポーネント: フロント バージョン: 2.3.0
キーワード: 関係者: homan

チケットの概要

「お支払方法選択時に正常に遷移しない場合がある不具合について 」(http://www.ec-cube.net/info/081110/index.php)を実施後、支払方法を選択せずに確認画面へ進むと不正なアクセスになります。

参考:http://xoops.ec-cube.net/modules/newbb/viewtopic.php?viewmode=flat&topic_id=3031&forum=11

原因は明らかですが、エラーチェックの際に支払方法が選択されていないと支払方法の比較ができないため、$pay_flagが直ちにtrueになってしまうため。

以下のようにすれば解決されるかと思いますが、 その結果セキュリティチェックを逃れることにならないか懸念しています。 (たぶん大丈夫だとは思うのですが・・・念のため確認させて下さい。) 

if ($pay_flag && $arrRet['payment_id'] != "") {
    SC_Utils_Ex::sfDispSiteError(CUSTOMER_ERROR);
}

チケットの履歴

2008/11/19 15:17:36 更新者:nakanishi

ありがとうございます。
ご提案いただいた対応で問題ないと思います。
次期バージョンでの対応を検討させていただきます。

2008/11/19 18:32:55 更新者:homan

  • ステータスnew から closed に更新されました。
  • 解決方法修正済 に更新されました。

comu-ver2では r17711 で修正済み。

2008/11/19 18:43:13 更新者:homan

  • ステータスclosed から reopened に更新されました。
  • 解決方法 が削除されました。

comu-ver2でしか解決していないので、念のため解決を差し戻しておきます。 勝手に申し訳ないです。

本番に反映されましたら、解決に変更願います。

2008/11/20 10:55:09 更新者:nakanishi

  • ステータスreopened から closed に更新されました。
  • 解決方法修正済 に更新されました。

r17712で修正完了しました。
homan様ありがとうございました。