Небольшой баг в безопасности (все версии 2.0.0)

[winnie]

вообщем если простой юзер введет адрес типа

(адрес до борды)/index.php?act=UserCP&CODE=iptool

то вообщем-то сможет воспользоваться фичей предназначеной только для супермодератора... и никто ему ничего не скажет

исправление...

берем файлик usercp.php

в нем функция function mod_ip_tool_start($msg="")

в ней есть проверка

   if ( ! $ibforums->member['g_is_supmod'] )
   {
   	$this->splash();
   	}

 

заменяем ее на

   if ( ! $ibforums->member['g_is_supmod'] )
   {
   	$this->splash();
   	return;
   }

 

и чуть ниже функция function mod_ip_tool_complete()

в ней есть строчка

 global $ibforums, $DB, $std, $forums;

и под ней добавляем

   if ( ! $ibforums->member['g_is_supmod'] )
   {
   	$this->splash();
   	return;
   }

[Heo]

Это для 2.0.0 Final?

[winnie]

для всех версий

[Iris]

winnie

спасибо

[PhreakeR]

winnie

Огромное спасибо!

[Cepera]

хм... вот что значит быть админом форума и не замечал

 

спасибо

[saman]

Я это, предлагаю winnie и d1pro чем-нибудь наградить, например пожизненной лицензией IPB

Молодцы парни, премного благодарен вам.

[CDeath]

Да уж... И как это разработчики не заметили

[Christoph Schneider]

Гы круто !

[Fletch.]

Спасибо! Однозначно полезная заплатка!

[Остап]

Да, но модеры вообще не имеют возможности теперь пользоваться ... Их кидает в профайл и там нету айпи тул ... Как фиксить ?

Добавлено в [mergetime]1096870959[/mergetime]

Надо бы как то облагородить ... И чтоб модеры могли и юзеры нет ... Проблема намечается, нада спрашивать модер ли чел ...

Добавлено в [mergetime]1096871493[/mergetime]

Позаимствовать можно тут :

foreach( $members as $id => $member )
     {
    	 if ( ! in_array( $id, $used_ids) ) 
    	 {
       foreach( $ibforums->cache['moderators'] as $idx => $data )
       {
      	 if ( $data['is_group'] and $data['group_id'] == $member['mgroup'] )
      	 {
         if ( $std->check_perms( $forums->forum_by_id[ $data['forum_id'] ]['read_perms'] ) == TRUE )
         {
        	 $moderators[] = array_merge( $member, array( 'forum_id' => $data['forum_id'] ) );
         }
         
         $used_ids[] = $id;
      	 }
      	 else if ( $data['member_id'] == $member['id'] )
      	 {
         if ( $std->check_perms( $forums->forum_by_id[ $data['forum_id'] ]['read_perms'] ) == TRUE )
         {
        	 $moderators[] = array_merge( $member, array( 'forum_id' => $data['forum_id'] ) );
         }
         
         $used_ids[] = $id;
      	 }
       }
    	 }

Добавлено в [mergetime]1096871534[/mergetime]

winnie Доведёшь до ума ?

[winnie]

как это не могут пользоватся? все могут..

или вы о простых модерах?

модерам как то и не положено пользоватся этой фичей.. они только видят ип

доступ только супер модерам и админам...

[Наташенька610]

Остап а где это надо добавить?

[Остап]

winnie

Та блин, ты как Мэтт точно ... Почему не могут вдруг ? Почему мы с тобой или мэтт это решает ? Я считаю что конктретный админ на месте вправе такое решать.

Добавлено в [mergetime]1096952104[/mergetime]

Наташенька610

Нигде, это пример как определяется модер ли чел с другого файла. Хочу, чтоб винни довёл до ума код в конкретном месте ЮСП

[nafigator]

Да, но модеры вообще не имеют возможности теперь пользоваться ... Их кидает в профайл и там нету айпи тул ... Как фиксить ?

Добавлено в [mergetime]1096870959[/mergetime]

Надо бы как то облагородить ... И чтоб модеры могли и юзеры нет ... Проблема намечается, нада спрашивать модер ли чел ...

Вот. Подерживаю.

Как дать доступ определённой группе к этому инструменту?

[Garret]

winnie, респект.