登録していないユーザーでも、ＸＯＯＰＳサイトのＵＲＬの後ろに

/userinfo.php?uid=（任意の整数）

入れると、なんとユーザー情報が丸見えです。これって非常にまずいと思っています。私のサークルの会員から指摘を受けました。

ためしに、いくつか私の登録していない、サイトにアクセスして、上記の呪文を加えると、確かにユーザー情報を見て取れます。

特に私のサイトのように、会員限定でしかも、入会も制限をかけているサイトなどで、このように丸見えでユーザー情報が出てしまうのは非常に問題があると思いますが、これって、すでに報告されていますでしょうか？

それともあまり、問題に感じてらっしゃらない話なんでしょうか？

バグではなければ、何か設定すると見えなくなるのでしょうか？
ちなみにグループ管理で、ゲストに対して、ユーザー情報が見えるような権限は与えていません。
ログイン、とお問い合わせと、サイト情報ぐらいです。

対処方法等、お教えいただけると助かります。

私の方でもこれについて考えたことがありました。
/userinfo.php?uid=（任意の整数）
で、テンプレートの「system_userinfo.html」を編集して見れる情報を削っちゃうのが一番手っ取り早い方法かなということで変更しました。
これで見せたくない項目を削除しちゃえば、とりあえず見られても安心になります。

うちのサイトはこの方法で項目減らしてますが、消した項目込みで見たい場合は別で用意しないといけなくなります。

ありがとうございました。早速やってみたのですが、一瞬表示はされてしまうんですね。

つまり、一瞬表示されて、２秒後くらいに、消えて元の画面に戻ります。

そもそも見せない、ということはできないのでしょうか？

include 'mainfile.php';
include_once XOOPS_ROOT_PATH.'/class/module.textsanitizer.php';
if ( !$xoopsUser ) {

	redirect_header(XOOPS_URL."/",3,_NOPERM);
	exit();

}

私はソースの最初の方に、上記の様にしますが。
別に問題ないですが

おかげさまでうまく行きました。

素人なのでよくわからず、最後の方のincludeの下に入れていました。

ありがとうございました。

お早うございます。
登録ユーザ情報が閲覧できる件、私も気になっていたのですが、解決方法があって助かりました。

ただ、できれば一律に閲覧不可にするよりも、ユーザのアカウント編集の項目に、プロフィールの公開/非公開の項目があると良いなと思います。

こっち方が大分スマートですね。
この方法に変えよう。