User-ID des eingeloggten Users herausfinden

Olli@Matrix · Beitrag von **Olli@Matrix** » 07.10.2008 19:51

...verdammt... zu früh gefreut...

Jetzt brauch ich noch 'nen kleinen Tipp, wie ich die Variable ins php bringe... :/

<?php
$Benutzer="{BENUTZER}";
echo $Benutzer;
?>

Wenn ich's so mache, wird nichts angezeigt... :/

Miriam · Beitrag von **Miriam** » 07.10.2008 19:56

Aua......

Code: Alles auswählen

print($userdata['user_id']);

Wär' das was?

Aber das geht nur, wenn Du die Session-Verwaltung des phpBB benutzt.
Scroll mal nochmal zurück

Olli@Matrix · Beitrag von **Olli@Matrix** » 07.10.2008 20:03

Miriam hat geschrieben:Aua......

Sorry, bin halt nicht so der Crack...^^

Das klappt so nicht. Wie gesagt, ich arbeite in der .tpl Datei. Dort ist die Variable $userdata['user_id']; leer.

Okay, wenn ich diese Session Verwaltung vornedransetze, dann sieht's so aus:

Code: Alles auswählen

<?php
$userdata = session_pagestart($user_ip, PAGE_PROFILE);
init_userprefs($userdata);
print($userdata['user_id']);
?>

Allerdings bekomme ich dann die Fehlermeldung:

Warning: Cannot modify header information - headers already sent by (output started at /srv/www/vhosts/the-ill-o.de/httpdocs/abi/cache/tpl_fisubsilversh.overall_header.php:197) in /srv/www/vhosts/the-ill-o.de/httpdocs/abi/includes/sessions.php on line 260 Warning: Cannot modify header information - headers already sent by (output started at /srv/www/vhosts/the-ill-o.de/httpdocs/abi/cache/tpl_fisubsilversh.overall_header.php:197) in /srv/www/vhosts/the-ill-o.de/httpdocs/abi/includes/sessions.php on line 261 -1

Miriam · Beitrag von **Miriam** » 07.10.2008 20:18

Also Du arbeitest mit den TPL Dateien. Gut.. Da gibt es nur die

Code: Alles auswählen

{Platzhalter}

und evtl.

Code: Alles auswählen

<!--switches -->

auch HTML... aber kein PHP.. Nicht in phpBB2.
Die Session Verwaltung passiert in der php Datei.
Die Übergabe an die TPL Datei hatten wir ja schon geklärt.
Der Parser ersetzt dann dort die Platzhalter.

Die Variable ist die

Code: Alles auswählen

$userdata[user_id']

in der php Datei, diese wird dargestellt durch (in Deiner Lösung) die Variable

Code: Alles auswählen

{BENUTZER}

in der TPL Datei.

Was möchtest Du in Deiner Abi-Zeitung nun genau machen?
Hast Du Dir den Nickpage Mod mal angeschaut?

Olli@Matrix · Beitrag von **Olli@Matrix** » 07.10.2008 20:30

Genau, du hast es erfasst!

Ist natürlich ärgerlich, dass das nicht geht... :/

Miriam hat geschrieben:Was möchtest Du in Deiner Abi-Zeitung nun genau machen?

Also, ich möchte, dass im Benutzerprofil Kommentare von anderen Benutzern über diesen Benutzer angezeigt werden, sowie ein kleines Feld, in das man selbst eintragen kann.

In einer Datenbank mit den Spalten VON, AN und Kommentar soll eingefügt werden:
VON - UserID der Verfassers
AN - UserID des Empfängers
Kommentar - Das, was im Formular stand

Unten im Profil wird also immer die DB ausgelesen,
profile.php?mode=viewprofile&u=2
natürlich werden nur die Felder angezeigt in denen AN = 2 ist. Also WHERE AN = $_Get['u'] und so.

Dann gibt es das Formular:

Code: Alles auswählen

<input type="text" name="Kommentar" size="50" cols="10">
<input type="hidden" name="VON" value="{BENUTZER}">
<input type="hidden" name="AN" value="
<?php
echo $_GET['u'];
?>
">

Eigentlich funktioniert das Script schon.

Doch jetzt will ich, dass geprüft wird, ob der User eingeloggt ist.
Wenn {BENUTZER} bzw. $userdata['user_id'] leer ist, soll weder Formular noch einträge angezeit werden.
Wenn der Benutzer auf seinem eigenen Profil ist, also wenn {BENUTZER} = $_GET['u'] ist, soll das Formular nicht angezeigt werden, aber seine Einträge.

Klingt doch total easy, oder?!^^

Ich hab's auch schon passend in die .tpl Datei eingebaut, sieht schick aus und alles, ich muss nur noch die UserID des eingeloggten Users überprüfen. Aber das kann ich nur, wenn ich sie als php Variable habe...

Miriam hat geschrieben:Hast Du Dir den Nickpage Mod mal angeschaut?

Nein, habe ich mir noch nicht angeschaut.
Ich guck mal rein!

Beitrag von **gn#36** » 07.10.2008 20:45

Die Prüfung ob der User der angemeldet ist derjenige ist der in dem Link steht kannst du auch im PHP Teil machen und dann einen Switch setzen der das Formular anzeigt oder nicht.

Code: Alles auswählen

if($userdata['user_id'] == $_GET['u'])
{
$template->assign_block_vars('anzuzeigen_wenn_selbst', array());
}
else
{
$template->assign_block_vars('anzuzeigen_wenn_nicht_selbst', array());
}

Im Template

Code: Alles auswählen

<!-- BEGIN anzuzeigen_wenn_selbst -->
Das hier kommt wenn der User selbst auf die Seite geht
<!-- END anzuzeigen_wenn_selbst -->
<!-- BEGIN anzuzeigen_wenn_nicht_selbst -->
und das hier wenn er es nicht selbst ist
<!-- END anzuzeigen_wenn_nicht_selbst -->
und das hier immer.

Alles was du an php code zu tun hast kannst du in den PHP Dateien erledigen (nicht im Template). Die direkte Ausgabe von Parametern (echo $_GET['u'] z.b.) ist extrem unsicher, damit öffnest du XSS Attacken Tür und Tor (probier dann z.b. mal was wie

Code: Alles auswählen

seite.php?u="><script>alert('attacke!')</script>

beim Zugriff auf die Seite...)

Olli@Matrix · Beitrag von **Olli@Matrix** » 07.10.2008 21:31

Genial, das funktioniert wunderbar!!

Danke!!

Ich habe nur noch ein Problem:

Wie geht das gleich mit if(...) AND (...)

Also wenn zwei Bediungungen erfüllt sein sollen?

Und zu den XSS-Attacken:

Bitte was soll das bringen?^^
Sorry, hab ich nciht ganz verstanden...

?u="><script>alert('attacke!')</script>

Wenn ich das als Linkadresse eingebe, kommt, dass der Benutzer nicht gefunden wird, was sogar mir irgendwie klar ist.

Aber was soll es bringen das in den Quelltext zu schreiben?

Edit:

Aha, okay, hab's rausgefunden:

if ( ... && ...)

und außerdem ist die user_id nicht empty, sondern -1 wenn kein user eingeloggt ist.

Aber das mit den XSS Attacken muss mir noch jemand erklären. Den Wikipediaeintrag hab ich auch nciht verstanden... *peinlich*

Olli@Matrix · Beitrag von **Olli@Matrix** » 07.10.2008 22:00

[[Posting kann gelöscht werden]]

Beitrag von **gn#36** » 08.10.2008 02:27

Bitte kein Bumping...

Dann war da an dem Skript noch mehr dran als du gezeigt hast.

Die URL zielte genau auf XSS hin. Wenn nur das was ich oben gelesen habe als Skript da gewesen wäre, dann hätte die Eingabe dieses Codes in der URL eigentlich zu einem JavaScript Infofenster mit "attacke!" darin führen müssen. Wenn du die vorher noch verarbeitest dann vielleicht sowas:
?u=2"><script>alert('attacke!')</script>

Könnte natürlich auch zu einem SQL Fehler führen wenn du das nicht abfängst.

Bei einem XSS Angriff versucht der Angreifer im Prinzip genau das: Durch Manipulation von Daten die an das Skript gehen Verhalten provozieren das der Admin der Website eigentlich nicht haben möchte. Wenn du bei so einer Manipulation ein Infofenster produzieren kannst, dann auch ein Popup, einen Iframe, ... und damit völlig veränderten Content (du könntest auch JavaScript laden das die gesamte Seite ersetzt sofern der User JavaScript nicht blockiert).

Olli@Matrix · Beitrag von **Olli@Matrix** » 08.10.2008 13:51

Okay, ich glaube ich hab's verstanden...

Man änder praktisch die Linkzeile, und fügt dadurch im Script noch eine oder mehrere Zeilen ein, weil man den aktuellen Tag einfach abbricht... Dadruch könnte man sicherlich auch Datenbanklogin-Daten anzeigen lassen, das wäre natürlich fatal.

Dann werde ich es also noch so ändern, dass ich möglichst vieles über hidden-felder mache, dann bin ich jedenfalls sicher, oder?