Seite 1 von 1
Post Date Edit Mod ist für alle zugänglich
Verfasst: 05.07.2003 04:35
von Gast
habe gerade festgestellt, dass der link zum ändern des post datums zwar nur für den admin sichtbar ist, aber man selbst ausgeloggt auf das post edit formular zugreifen kann und jeder das datum eines posts ändern kann.
wie kann ich das unterbinden?
Verfasst: 05.07.2003 10:39
von Acid
Sicher?
Denn laut Anleitung schaut der Code in der viewtopic.php wie folgt aus..
Code: Alles auswählen
// Edit Post Date hack
//
if ( $userdata['user_level'] == '1' )
{
$edit_post_date_id = $postrow[$i]['post_id'];
$temp_url = "javascript:window.open('includes/edit_post_date.php?p=$edit_post_date_id','edit_post_date','width=500,height=430');void(0);";
$edit_date_img = '<a href="' . $temp_url . '"><img src="' . $images['icon_edit_date'] . '" alt="' . $lang['Edit_post_date'] . '" title="' . $lang['Edit_post_date'] . '" border="0" /></a>';
}
else
{
$edit_date_img = '';
$edit_date = '';
}
// End Edit Post Date hack
d.h. nur der "user_level" 1 (Admin) kann es sehen.
Verfasst: 05.07.2003 10:47
von Gast
ja. habe gerade nochmal die viewtopic.php überprüft. es steht genauso drin. auf einem anderen board von mir ist es aber genauso. d.h. ich kann auch als anonymer user auf die datei edit_post_date.php?p=XXXXX zugreifen und das datum ändern.
Verfasst: 05.07.2003 11:05
von Acid
aso... du kannst zwar den "Link" als Gast nicht sehen, aber halt auf die Datei zugreifen !?
Verfasst: 05.07.2003 16:24
von Gast
Acid hat geschrieben:aso... du kannst zwar den "Link" als Gast nicht sehen, aber halt auf die Datei zugreifen !?
ja genau.
Verfasst: 05.07.2003 16:54
von Acid
edit_post_date.php
++FINDE++
Code: Alles auswählen
$userdata = session_pagestart($user_ip, PAGE_VIEWMEMBERS);
init_userprefs($userdata);
Code: Alles auswählen
if ($userdata['user_level'] != ADMIN)
{
message_die(GENERAL_MESSAGE, 'Geh weg...');
}
..funktioniert´s dann ?
Verfasst: 05.07.2003 17:04
von Gast
jau. super!