Evrika Опубликовано 25 Марта 2010 Жалоба Поделиться Опубликовано 25 Марта 2010 (изменено) Эта небольшая модификация очень поможет в том случае если какой нибудь пользователь проспамится в статусе)))Добавляется кнопка "удалить" справа от статуса, только на главной странице форума если у вас установлен хук последние статусы.. Итак... Скачайте этот файл, (modstatus.php) Удаление_статуса.zip И загрузите его в корень по такому пути: /admin/applications/members/modules_public/profile Далее идем.. (если админка на англ.) Админ центр > Ваш скин > Board Index > hookBoardIndexStatusUpdates (если админка на русс.) Админ центр > Ваш скин > Список форумов > hookBoardIndexStatusUpdates Находим этот код: <li class='hentry {parse striping="recent_status"}'> И добавляем после него: <if test="statusmoderator:|:$this->memberData['is_mod'] == 1"> <ul class='right'> <li class='t_delete'><a href='{parse url="app=members&module=profile§ion=modstatus&member_id={$r['pp_member_id']}&k={$this->member->form_hash}&rurl={parse expression="base64_encode('act=idx')"}" base="public"}' title='{$this->lang->words['delete_comment_text']}'> <img src='{$this->settings['img_url']}/delete.png' alt='{$this->lang->words['delete_comment_text']}' title='{$this->lang->words['delete_comment_text']}' /> </a></li> </ul> </if> И всё! Установлен у меня на рабочем форуме, работает отлично. Изменено 25 Марта 2010 пользователем Evrika Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Ritsuka Опубликовано 25 Марта 2010 Жалоба Поделиться Опубликовано 25 Марта 2010 Мне крайне не нравится эта строка модуля: $this->registry->output->redirectScreen( 'Status was deleted', $this->settings['base_url'] . base64_decode( $this->request['rurl'] ) ); А конкретно:base64_decode( $this->request['rurl'] )передаваемое напрямую в URL для редиректа. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Evrika Опубликовано 25 Марта 2010 Автор Жалоба Поделиться Опубликовано 25 Марта 2010 Эта функция только у админов и модеров, забыла добавить. ======== А чем именно она не нравится? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Ritsuka Опубликовано 25 Марта 2010 Жалоба Поделиться Опубликовано 25 Марта 2010 Подход не очень удачный... Но в целом, благодаря использованию form_hash, реальной угрозы безопасности нет. Вот если бы не было хэш-ключа и если в настройках форума включены страницы редиректа, было бы достаточно скормить модератору ссылку следующего вида, чтобы заполучить его сессию:http://example.com/index.php?app=members&module=profile§ion=modstatus&member_id=1&k=123&rurl=amF2YXNjcmlwdDphbGVydCgnWFNTJyk7Cg== Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Evrika Опубликовано 25 Марта 2010 Автор Жалоба Поделиться Опубликовано 25 Марта 2010 А выход какой? чтоб модеры не ели подобных ссылок.. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Ritsuka Опубликовано 26 Марта 2010 Жалоба Поделиться Опубликовано 26 Марта 2010 Нет, все нормально, проверка form_hash не даст этой уязвимостью воспользоваться. Плюс, я думаю, имеет место какая-то зачистка в вызове redirectScreen... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Evrika Опубликовано 26 Марта 2010 Автор Жалоба Поделиться Опубликовано 26 Марта 2010 Славно) Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
АКАДО-Столица Опубликовано 27 Февраля 2012 Жалоба Поделиться Опубликовано 27 Февраля 2012 Т.есть модераторы не могут удалять статусы ? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.