OpenPNE 3

Overview (現象)¶

opDynamicAclRoute クラスを使用したルートの allow_empty オプションを true にセットした状態で存在しないオブジェクトに対する URL がリクエストされると、 $route->getObject() で null が返されることなく Fatal Error が発生し異常終了する。

[Fri Nov 29 16:56:45.251504 2013] [fcgid:warn] [pid 32517:tid 139863663769344] [client 115.65.29.61:64752] mod_fcgid: stderr: PHP Fatal error:  Call to a member function isAllowed() on a non-object in /home/upsilon/git/openpne3/master/lib/routing/opDynamicAclRoute.class.php on line 44, referer: https://sns.example.com/communityTopic/1  

Causes (原因)¶

opDynamicAclRoute::getObject() メソッド内で、parent::getObject() が null を返すことが想定していないことが原因。

  public function getObject()
  {
    $result = parent::getObject();

    if (!$role = $this->getCurrentMemberId())
    {
      $role = 'alien';
    }

    if ($result instanceof opAccessControlRecordInterface)
    {
      if (!$result->isAllowed($this->getCurrentMember(), $this->options['privilege']))
      {
        $this->handleRestriction();
      }
    }
    elseif (!$this->acl->isAllowed($this->getCurrentMemberId(), null, $this->options['privilege']))
    {
      $this->handleRestriction();
    }

    return $result;
  }

Way to fix (修正内容)¶

parent::getObject() が null を返した場合には何もせずそのまま null を返すように修正する。