Post Date Edit Mod ist für alle zugänglich

[Gast]

habe gerade festgestellt, dass der link zum ändern des post datums zwar nur für den admin sichtbar ist, aber man selbst ausgeloggt auf das post edit formular zugreifen kann und jeder das datum eines posts ändern kann.

wie kann ich das unterbinden?

[Acid]

Sicher?

Denn laut Anleitung schaut der Code in der viewtopic.php wie folgt aus..

Code: Alles auswählen

// Edit Post Date hack
//
	if ( $userdata['user_level'] == '1' )
	{
		$edit_post_date_id = $postrow[$i]['post_id'];
		$temp_url =  "javascript:window.open('includes/edit_post_date.php?p=$edit_post_date_id','edit_post_date','width=500,height=430');void(0);";
		$edit_date_img = '<a href="' . $temp_url . '"><img src="'  . $images['icon_edit_date'] . '" alt="' . $lang['Edit_post_date'] . '" title="' . $lang['Edit_post_date'] . '" border="0" /></a>';
	}
	else
	{
		$edit_date_img = '';
		$edit_date = '';
	}

// End Edit Post Date hack

d.h. nur der "user_level" 1 (Admin) kann es sehen.

[Gast]

ja. habe gerade nochmal die viewtopic.php überprüft. es steht genauso drin. auf einem anderen board von mir ist es aber genauso. d.h. ich kann auch als anonymer user auf die datei edit_post_date.php?p=XXXXX zugreifen und das datum ändern.

[Acid]

aso... du kannst zwar den "Link" als Gast nicht sehen, aber halt auf die Datei zugreifen !?

[Gast]

aso... du kannst zwar den "Link" als Gast nicht sehen, aber halt auf die Datei zugreifen !?

ja genau.

[Acid]

edit_post_date.php
++FINDE++

Code: Alles auswählen

$userdata = session_pagestart($user_ip, PAGE_VIEWMEMBERS);
init_userprefs($userdata);

++DARUNTER EINFÜGEN++

Code: Alles auswählen

if ($userdata['user_level'] != ADMIN)
{
	message_die(GENERAL_MESSAGE, 'Geh weg...');
}

..funktioniert´s dann ?

[Gast]

jau. super!