Пользователь удаляет других пользователей

Предыдущая
1
2
3
Показаны 31-42 из 42

#31 20 февраля 2012 в 13:52

в принципе да, нужно везде проверку на referrer делать будь то удаление профиля или блога и тп
это как-то логично

а вообще такого еще не встречал) обычно такие запросы по другому обрабатываются и делаются всплывающие окна (обычные alert'ы) с подтверждением, перед запросом на удаление чего либо. А так чтобы эта страница отвечала за подтверждение а эта за удаление…

#32 19 мая 2012 в 23:04

Почему-то эта тема вылезла, как одна из последних, хотя у нее последнее сообщение от 20 февраля.
В чем дело? Почему так?

Решена ли поднятая проблема?

P.S. Что-то для меня сегодня просто день разочарований в Инстанте какой-то, сплошные дыры.

#33 19 мая 2012 в 23:25

Почему-то эта тема вылезла, как одна из последних, хотя у нее последнее сообщение от 20 февраля.
В чем дело? Почему так?

Решена ли поднятая проблема?

P.S. Что-то для меня сегодня просто день разочарований в Инстанте какой-то, сплошные дыры.

spacer

проблема не устранена только что проверил

В новых знакомствах кроется путь к успеху

Сегодня в 10:04

#34 19 мая 2012 в 23:27

CyberMan, привели два варианта устранения
1. добавить вопрос "Вы действительно хотите снести свой профиль?"
2. удалить из файла код, который отвечает за удаление профиля

Это не есть дыра инстанта, пользователь же сам себя удаляет — своими активными действиями. Пусть по глупости, но сам — можно лишь добавить еще один вопросик, чтобы убедиться в намерениях пользователя

оптимизирую помаленьку

#35 19 мая 2012 в 23:30

CyberMan, привели два варианта устранения
1. добавить вопрос "Вы действительно хотите снести свой профиль?"
2. удалить из файла код, который отвечает за удаление профиля

Это не есть дыра инстанта, пользователь же сам себя удаляет — своими активными действиями. Пусть по глупости, но сам — можно лишь добавить еще один вопросик, чтобы убедить в намерениях пользователя

SJen

подумаю на досуге как реализовать алерт окно в предупреждением) если получится тогда выложу)

В новых знакомствах кроется путь к успеху

#36 20 мая 2012 в 05:11

CyberMan, привели два варианта устранения
1. добавить вопрос "Вы действительно хотите снести свой профиль?"
2. удалить из файла код, который отвечает за удаление профиля

Это не есть дыра инстанта, пользователь же сам себя удаляет — своими активными действиями. Пусть по глупости, но сам — можно лишь добавить еще один вопросик, чтобы убедиться в намерениях пользователя

SJen

Да, в данном случае пользователь сам нажимал на ссылку. А если совместить это с дыркой с тегом "embed" из соседней ветки — переход по этой ссылке будет автоматически при открытии сообщения. И никаких активных действий. Получил личное сообщение, открыл посмотреть что там — и все, нет тебя.

#37 20 мая 2012 в 13:44

Да, в данном случае пользователь сам нажимал на ссылку. А если совместить это с дыркой с тегом "embed" из соседней ветки — переход по этой ссылке будет автоматически при открытии сообщения. И никаких активных действий. Получил личное сообщение, открыл посмотреть что там — и все, нет тебя.
PrimHunter

Более того. Многие тут видели фокус когда открываешь тему форума и ты оффлайн. А теперь представим что Артем закатал в том посте не выход из логина а другое… Половина пользователей теперь курила бы.

#38 20 мая 2012 в 13:58

Да, в данном случае пользователь сам нажимал на ссылку. А если совместить это с дыркой с тегом "embed" из соседней ветки — переход по этой ссылке будет автоматически при открытии сообщения. И никаких активных действий. Получил личное сообщение, открыл посмотреть что там — и все, нет тебя.
PrimHunter
Более того. Многие тут видели фокус когда открываешь тему форума и ты оффлайн. А теперь представим что Артем закатал в том посте не выход из логина а другое… Половина пользователей теперь курила бы.

Нил

ну я собственно об этом и говорил…

#39 20 мая 2012 в 15:15

PrimHunter, Думаю и ваш сайт сломали через эту дырку, когда вы заходили на сайт в свой профиль, срабатывал скрипт и отправлял ваши куки злодею, а дальше дело техники, хотя он мог разместить и вредоносную ссылку… но мое мнение ваш сайт был сломан именно таким способом, хотя я не утверждаю, я не специалист в данной области…

#40 20 мая 2012 в 15:27

Поставьте решение от Марата .
Оно работает!
Единственный недостаток, в ИЕ старых версий не работает удаление пользователя.
А в остальном все Ок!

откройте файл /components/users/frontend.php строку примерно 2119

 
if (isset($_REQUEST['confirm'])){

и сразу после него вставьте

 
$check_uri = '/users/'.$data['id'].'/delprofile.html';
$ref_uri = $inCore->getBackURL();
if(!strstr($ref_uri, $check_uri)){
cmsCore::addSessionMessage('Вы перешли по некорректной ссылке. Кто-то пытается удалить ваш профиль без вашего ведома. Обратитесь к администрации сайта', 'error');
$inCore->redirectBack();
}

Это проверка, что пришли с нужной страницы.

#41 23 июля 2014 в 01:20

А как сделать, чтобы удалять профиль и блоги вообще мог только админ? В 1.9

#42 16 марта 2016 в 17:35

Для 1.10.6

Для запрета удаления юзерами профиля в файле /components/users/frontend.php достаточно закомментировать следующие строки

есть ли удаляемый профиль
//	$data = cmsUser::getShortUserData($id);
	if (!$data) { cmsCore::error404(); }

После этого по ссылке ваш_сайт/users/.../delprofile.html будет выдавать 404. Удалить свой профиль пользователь теперь не сможет

Предыдущая
1
2
3
Показаны 31-42 из 42

Версия 1.

Порушились таблицы MySQL.

Вы не можете отвечать в этой теме.
Войдите или зарегистрируйтесь, чтобы писать на форуме.

Пользователь удаляет других пользователей

Похожие темы

Массовое изменение записей - загрузка изображений. ВОПРОС по корректности

Не удаляется никакой контент

[ЕСТЬ РЕШЕНИЕ] Вывод групп пользователей и подсчёт пользователей getCount

Как скрыть не активных пользователей (без подтверждения e-mail) из виджета списка новых пользователей?

Как убрать блоки, в профиле пользователя ?

[ЕСТЬ РЕШЕНИЕ] Сортировка пользователей на сайте

InstantCMS Team

О проекте

Поддержка

Дополнения