ugrás a tartalomhoz

Fórumon megnyitott session sajnos érvényes az admin felületre is

Anonymous · 2006. Aug. 10. (Cs), 19.00
Van egy fórumom, és egy szerkesztői felületem. Mind a két oldalon sessiont használok, ha forumon belépek egy sima user nevével, majd megnyitom az admin oldalt, akkor belépés nélkül megnyilik elöttem a szerkesztői felület, így azok is hozzáférhetnek a hírek szerkesztéséhez akiknek nem is kellene. Ezt hogy lehet megakadályozni.
 
1

Probléma session-el

Anonymous · 2006. Aug. 10. (Cs), 20.00
Ha ugyanaz a program engedi az admint a szerkesztői felületre, mint amelyik a fórumozót hozzászólni, akkor az egy nagyon elhibázott programozási szemlélet.
Ez olyan, mintha a bank páncélszekrényének a kulcsa azonos lenne a takarító néni szekrényének a kulcsával.
A beléptető programnak fel kell ismernie, hogy az, aki belépett, admin, vagy user. Ezt egy egyszerű adatbázis mezővel el lehet érni. Ha admin, akkor a mező értéke 1, ha nem, nulla. Ha admin, akkor a szerkesztői felületre irányítja, ha user, akkor meg a fórumra.
(A kérdőmondat végére kérdőjelet szoktak írni)

Gyulus
2

hm

Anonymous · 2006. Aug. 10. (Cs), 20.51
Azt kihagytam, hogy két külön serverről és oldalról van szó.

(A mondat végére pedig pontot.)
3

hm

Anonymous · 2006. Aug. 10. (Cs), 21.37
Tehát belépsz a www.egyik.hu user felületére fórumozni, utána beírod, hogy www.masik.hu/forumadmin/, és beenged? Én ilyennel még nem találkoztam.

(A hozzászólás végére meg aláírás...)

Gyulus
4

roland

Anonymous · 2006. Aug. 10. (Cs), 21.47
beirom hogy www.oldal.hu/forum/login.php itt belépek, majd megnyitom a www.oldal.hu/admin oldalt és belép. :)

roland
5

két szerver?

Hojtsy Gábor · 2006. Aug. 10. (Cs), 21.54
Miből gondolod, hogy ez két különböző szerveren van? Nem úgy tűnik. A session alapból domain névhez kötött. Ezt persze be lehet állítani, hogy csak adott alkönyvtárra legyen érvényes. Lásd a PHP session függvények dokumentációját.
9

2 külön mappa

Anonymous · 2006. Aug. 11. (P), 18.47
2 külön mappában, bocs
6

belép

Anonymous · 2006. Aug. 10. (Cs), 22.43
beirom hogy www.oldal.hu/forum/login.php itt belépek, majd megnyitom a www.oldal.hu/admin oldalt és belép. :)


Akkor rosszul van megírva a beléptetés, és érvénybe lép az első hozzászólásom. Tehát nem elég csak egy belépve=1 session-t kiadni, hanem kell mellé egy admin=1 vagy admin=0 session is. És amikor belépett az ember, akkor a program megnézi, hogy mi az admin nevű session értéke, és aszerint cselekszik.

Gyulus
10

igy jo lesz úgy gondolom

Anonymous · 2006. Aug. 11. (P), 18.49
tehát akkor fogom azt a mezőt ami az adminokat tárolja és csinálok egy sort amiben admin = 1. a fórum usereit meg ugye hagyom békén ott nem kell állítani ilyet. remélem jól értettem
11

igy jo lesz

Anonymous · 2006. Aug. 11. (P), 22.19
Igen. De nem sort, hanem egy mezőt a táblában. Ez inkább oszlop, mint sor. Ha user, akkor a mező értéke 0, ha admin, akkor 1.

Gyulus
7

egyszerű megoldás

Anonymous · 2006. Aug. 11. (P), 02.37
Hi!

Láttam a problémát, és valószínűleg igencsak elhibázott programról van szó, de ezt könnyen el lehet fedni, ha beállítassz egy htaccess bejegyzéssel szerver oldali jelszó védelmet, és akkor biztosan csak az fér hozzá az adminhoz, aki ismeri a jelszót.

Üdv,

Egri Zsolt
www.web-server.hu
8

igen

Anonymous · 2006. Aug. 11. (P), 18.44
igazad van, de kézenfekvőbb az amit felettem tanácsoltak. köszi.