Sicherheit beim birthday_1.5.9em Mod von Niels

[redbull254]

Hallo,zusammen

Ich habe eine Frage zum Sicherheitshinweis in der Installationsanleitung:

# NOTICE - IMPORTENT SECURITY RISK
#
# If you some how do not preform the following VERY carefully you have the
# potential to compromise your forum SECURITY, your users may easyly get ADMIN access if you make mistake
# meny users do make mistake in the step, so please be very exact, if this fail, then do not run your code on live forum
#

Wenn ich das richtig übersetze, heißt das für mich,wenn ich hier Mist baue, können User Admin Zugang erlangen, stimmt das so ?
Wie kann ich das raus finden?
Habe einen Testuser angelegt,sehe aber keinen Admin Bereich. Habe ich das alles richtig gemacht oder deute ich da was falsch?

[h-o]

Es handelt sich in diesem Fall um einen SQL-Befehl zur Aktualisierung der Tabelle phpbb_users.

Wenn das MOD nicht richtig eingebaut wird, könnte eine falsche Wertzuweisung erfolgen, also eine der beiden Birthday-Werte der Tabelle beispielsweise in die Spalte user_level "rutschen" könnte, wodurch ein anderer Benutzer versehentlich Admin-Rechte erhalten würde, wenn user_level = 1 statt 0 ist.

Genau genommen kann das bei jedem MOD auftreten, das diesen SQL-Befehl entsprechend erweitert. Niels geht hier halt auf Nummer sicher. Im Gender-MOD fehlt dieser Hinweis allerdings, obwohl das "Risiko" bei user_gender (z. B. männlich = 1) wesentlich höher ist als beim Birthday-MOD, wenn user_gender in diesem Fall mit user_level vertauscht würde.

[redbull254]

Hallo, h-o
Danke für die gute Erklärung. Verstehe ich das richtig, wenn jetzt in der Datenbank bei User_ Level weiterhin nur ich als Admin eine 1 stehen habe, ist alles richtig gemacht worden?
User haben alle 0,Mods 2 und Admin 1.
So sollte es doch sein, richtig?