phpBB.de

Hallo,zusammen

Ich habe eine Frage zum Sicherheitshinweis in der Installationsanleitung:

# NOTICE - IMPORTENT SECURITY RISK
#
# If you some how do not preform the following VERY carefully you have the
# potential to compromise your forum SECURITY, your users may easyly get ADMIN access if you make mistake
# meny users do make mistake in the step, so please be very exact, if this fail, then do not run your code on live forum
#

Wenn ich das richtig übersetze, heißt das für mich,wenn ich hier Mist baue, können User Admin Zugang erlangen, stimmt das so ?
Wie kann ich das raus finden?
Habe einen Testuser angelegt,sehe aber keinen Admin Bereich. Habe ich das alles richtig gemacht oder deute ich da was falsch?

Es handelt sich in diesem Fall um einen SQL-Befehl zur Aktualisierung der Tabelle phpbb_users.

Wenn das MOD nicht richtig eingebaut wird, könnte eine falsche Wertzuweisung erfolgen, also eine der beiden Birthday-Werte der Tabelle beispielsweise in die Spalte user_level "rutschen" könnte, wodurch ein anderer Benutzer versehentlich Admin-Rechte erhalten würde, wenn user_level = 1 statt 0 ist.

Genau genommen kann das bei jedem MOD auftreten, das diesen SQL-Befehl entsprechend erweitert. Niels geht hier halt auf Nummer sicher. Im Gender-MOD fehlt dieser Hinweis allerdings, obwohl das "Risiko" bei user_gender (z. B. männlich = 1) wesentlich höher ist als beim Birthday-MOD, wenn user_gender in diesem Fall mit user_level vertauscht würde.

Hallo, h-o
Danke für die gute Erklärung. Verstehe ich das richtig, wenn jetzt in der Datenbank bei User_ Level weiterhin nur ich als Admin eine 1 stehen habe, ist alles richtig gemacht worden?
User haben alle 0,Mods 2 und Admin 1.
So sollte es doch sein, richtig?