Перейти к контенту

Кнопка удалить статус пользователя


Рекомендуемые сообщения

Эта небольшая модификация очень поможет в том случае если какой нибудь пользователь проспамится в статусе)))

Добавляется кнопка "удалить" справа от статуса, только на главной странице форума если у вас установлен хук последние статусы..

 

post-75813-1269548040_thumb.png post-75813-1269548048_thumb.png

 

Итак...

 

Скачайте этот файл, (modstatus.php)

 

Удаление_статуса.zip

 

И загрузите его в корень по такому пути: /admin/applications/members/modules_public/profile

 

Далее идем..

 

(если админка на англ.) Админ центр > Ваш скин > Board Index > hookBoardIndexStatusUpdates

 

(если админка на русс.) Админ центр > Ваш скин > Список форумов > hookBoardIndexStatusUpdates

 

Находим этот код:

 

<li class='hentry {parse striping="recent_status"}'>

 

И добавляем после него:

 

<if test="statusmoderator:|:$this->memberData['is_mod'] == 1">
							<ul class='right'>
								<li class='t_delete'><a href='{parse url="app=members&module=profile&section=modstatus&member_id={$r['pp_member_id']}&k={$this->member->form_hash}&rurl={parse expression="base64_encode('act=idx')"}" base="public"}' title='{$this->lang->words['delete_comment_text']}'> <img src='{$this->settings['img_url']}/delete.png' alt='{$this->lang->words['delete_comment_text']}' title='{$this->lang->words['delete_comment_text']}' /> </a></li>

							</ul>
						</if>

 

И всё!

 

Установлен у меня на рабочем форуме, работает отлично.

Изменено пользователем Evrika
Ссылка на комментарий
Поделиться на других сайтах

Мне крайне не нравится эта строка модуля:

			$this->registry->output->redirectScreen( 'Status was deleted', $this->settings['base_url'] . base64_decode( $this->request['rurl'] ) );

 

А конкретно:

base64_decode( $this->request['rurl'] )

передаваемое напрямую в URL для редиректа.

Ссылка на комментарий
Поделиться на других сайтах

Подход не очень удачный... Но в целом, благодаря использованию form_hash, реальной угрозы безопасности нет. Вот если бы не было хэш-ключа и если в настройках форума включены страницы редиректа, было бы достаточно скормить модератору ссылку следующего вида, чтобы заполучить его сессию:

http://example.com/index.php?app=members&module=profile&section=modstatus&member_id=1&k=123&rurl=amF2YXNjcmlwdDphbGVydCgnWFNTJyk7Cg==

Ссылка на комментарий
Поделиться на других сайтах

Нет, все нормально, проверка form_hash не даст этой уязвимостью воспользоваться. Плюс, я думаю, имеет место какая-то зачистка в вызове redirectScreen...
Ссылка на комментарий
Поделиться на других сайтах

  • 1 год спустя...

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

Гость
Ответить в этой теме...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

Зарузка...
×
×
  • Создать...

Важная информация

Находясь на нашем сайте, вы соглашаетесь на использование файлов cookie, а также с нашим положением о конфиденциальности Политика конфиденциальности и пользовательским соглашением Условия использования.