<?php // Полная загрузка сервисных книжек, создан 2025-01-05 12:44:55
global $wpdb2;
global $failure;
global $file_hist;
///// echo '<H2><b>Старт загрузки</b></H2><br>';
$failure=FALSE;
//подключаемся к базе
$wpdb2 = include_once 'connection.php'; ; // подключаемся к MySQL
// если не удалось подключиться, и нужно оборвать PHP с сообщением об этой ошибке
if (!empty($wpdb2->error))
{
///// echo '<H2><b>Ошибка подключения к БД, завершение.</b></H2><br>';
$failure=TRUE;
wp_die( $wpdb2->error );
}
$m_size_file=0;
$m_mtime_file=0;
$m_comment='';
/////проверка существования файлов выгрузки из 1С
////файл выгрузки сервисных книжек
$file_hist = ABSPATH.'/_1c_alfa_exchange/AA_hist.csv';
if (!file_exists($file_hist))
{
///// echo '<H2><b>Файл обмена с сервисными книжками не существует.</b></H2><br>';
$m_comment='Файл обмена с сервисными книжками не существует';
$failure=TRUE;
}
/////инициируем таблицу лога
/////если не существует файла то возврат и ничего не делаем
if ($failure){
///включает защиту от SQL инъекций и данные можно передавать как есть, например: $_GET['foo']
///// echo '<H2><b>Попытка вставить запись в лог таблицу</b></H2><br>';
$insert_fail_zapros=$wpdb2->insert('vin_logs', array('time_stamp'=>time(),'last_mtime_upload'=>$m_mtime_file,'last_size_upload'=>$m_size_file,'comment'=>$m_comment));
wp_die();
///// echo '<H2><b>Возврат в начало.</b></H2><br>';
return $failure;
}
/////проверка лога загрузки, что бы не загружать тоже самое
$masiv_data_file=stat($file_hist); ////передаем в массив свойство файла
$m_size_file=$masiv_data_file[7]; ////получаем размер файла
$m_mtime_file=$masiv_data_file[9]; ////получаем дату модификации файла
////создаем запрос на получение последней удачной загрузки
////выбираем по штампу времени создания (редактирования) файла загрузки AA_hist.csv, $m_mtime_file
///// echo '<H2><b>Размер файла: '.$m_size_file.'</b></H2><br>';
///// echo '<H2><b>Штамп времени файла: '.$m_mtime_file.'</b></H2><br>';
///// echo '<H2><b>Формирование запроса на выборку из лога</b></H2><br>';
////препарируем запрос
$text_zaprosa=$wpdb2->prepare("SELECT * FROM `vin_logs` WHERE `last_mtime_upload` = %s", $m_mtime_file);
$results=$wpdb2->get_results($text_zaprosa);
if ($results)
{ foreach ( $results as $r)
{
////если штамп времени и размер файла совпадают, возврат
if (($r->last_mtime_upload==$m_mtime_file) && ($r->last_size_upload==$m_size_file))
{////echo '<H2><b>Возврат в начало, т.к. найдена запись в логе.</b></H2><br>';
$insert_fail_zapros=$wpdb2->insert('vin_logs', array('time_stamp'=>time(),'last_mtime_upload'=>$m_mtime_file,'last_size_upload'=>$m_size_file,'comment'=>'Загрузка отменена, новых данных нет, т.к. найдена запись в логе.'));
wp_die();
return $failure;
}
}
}
////если данные новые, пишем в лог запись о начале загрузки
/////echo '<H2><b>Попытка вставить запись о начале загрузки в лог таблицу</b></H2><br>';
$insert_fail_zapros=$wpdb2->insert('vin_logs', array('time_stamp'=>time(),'last_mtime_upload'=>0, 'last_size_upload'=>$m_size_file, 'comment'=>'Начало загрузки'));
////очищаем таблицу
$clear_tbl_zap=$wpdb2->prepare("TRUNCATE TABLE %s", 'vin_history');
$clear_tbl_zap_repl=str_replace("'","`",$clear_tbl_zap);
$results=$wpdb2->query($clear_tbl_zap_repl);
///// echo '<H2><b>Очистка таблицы сервисных книжек</b></H2><br>';
if (empty($results))
{
///// echo '<H2><b>Ошибка очистки таблицы книжек, завершение.</b></H2><br>';
//// если очистка не удалась, возврат
$failure=TRUE;
wp_die();
return $failure;
}
////загружаем данные
$table='vin_history'; // Имя таблицы для импорта
//$file_hist Имя CSV файла, откуда берется информация // (путь от корня web-сервера)
$delim=';'; // Разделитель полей в CSV файле
$enclosed='"'; // Кавычки для содержимого полей
$escaped='\
Странная схема, честно говоря, и очень много факторов неучтено 🙁
Например, есть реквизиты типа счет с именем КоррСчет и т.д.
Далее нафига в название роли засовывать названия счетов в качестве ограничения, когда можно сделать простой справочник, в котором названия привязать к счетам.
И т.д. и т.п. 🙁
Еще не проработан момент показа в каком-то отчете запрещенных счетов — например, для выбора в отчетах счет 70 запрещен, но его легко будет посмотреть, например, в отчетах по субконто и т.д.
Ну, во-первых, 20 стороками кода проблему разграничения доступа не решишь, задача стояла именно ограничить выбор счёта… Насчёт КоррСчет — принято. Добавим в ПриНачалеВыбораЗначения еще КоррСчет.
А зачем делать справочник, когда можно НЕ ДЕЛАТЬ ? Кроме того, в справочник надо не забывать добавить при появлении нового. Справочник надо закрыть от тех же пользователей…
Ну и если надо закрывать выбор субконто — это уже другая задача. Можно просто выкинуть этот отчёт у конкретного пользователя.
Вообще, по большому счёту, вся система разграничения в 7-ке — это защита от дурака, для гарантированного разграничения информации от УМНЫХ пользователей надо затратить несравненно больше усилий, чем здесь предложено, которые могут пойти на смарку в несколько секунд, когда этот умный пользователь залезет в папку базы данных…
(3) Я намекал, что лучше использовать не название, а проверять тип значения элемента 🙂
В названии может стоять все что угодно 🙂
а что мешает в поле выбора счета вбить код счета вручную…?
Мое мнение совпадает с artbear. Сталкивался с такой же проблемой, пришел к выводу что необходимо контролировать вывод каждого значения в ячейках и даже более того. Легче наверное написать стандартные отчеты с нуля, учитывая контроль прав на счета и субконто, чем лопатить существующие.
Достаточно жизнеспособная идея, если не разрабатывается параноидальная система защиты от утечки комерческой информации :))))
(7) не прокатит… достаточно изредка фоткать мобильником экраны пользователей с более широкими правами…
(5) Помешаем ! Ставим на поле Счет (ну и КоррСчет) флаг «Запретить редактирование», ручками вводить нельзя, а выбор из списка работает !
(8) Мобильники отнимать на входе в здание ! …или просматривать фотографии на выходе!
А если серьёзно — эта идея позиционируется как достаточно простое и эффективное решение в объёме «защиты от дурака».
(6) А что помешает пользователю (умному) открыть папку базы.. и через 30 секунд добавить нового пользователя с полными правами, получить какие надо отчёты и вернуть всё на место ? Или вообще просто утащить базу?
(10) «А что помешает пользователю…» — помешает администратор сети, если ему не все «по барабану».
(11) Например ? Предложите способ сделать это при отсутствии выделенного сервера. Да и при наличии сомневаюсь я что-то…
При отсутствии сервера не предложу. При наличии терминал-сервера многое можно сделать, хотя дыры при желании всегда найдутся. Но все-таки на терминалке штатными средствами администрирования и нештатными компонентами под 1С и утилитами можно 99% дыр позакрывать. Правда потребуется много времени и фантазии. Я помню, то ли статья была, то ли ветка в форуме, где были описаны многие дыры 1С и способы как их закрыть.