Admin kann für Mitglieder den Benutzernamen ändern

Ralf · Beitrag von **Ralf** » 07.10.2006 18:16

Hallo zusammen,

vor folgender Aufgabenstellung stehe ich momentan:

Ein Admin soll den Benutzernamen (bzw. bei mir eben Kundennummer) eines Mitglieds ändern können. Da dies jedoch eigentlich nicht möglich ist, da das Feld keine Eingabe erlaubt, würde ich es gerne ändern.

Dazu habe ich mir die users.php angeschaut und folgenden Code ziemlich am Ende gefunden:

Code: Alles auswählen

        echo '<tr><td class="leftrow">'.___('Login:').'</td>';
        echo '<td class="rightrow">';
        if ($_REQUEST['id']<=0) {
            echo '<input type="text" name="user" value="'.htmlspecialchars($_POST['user']).'" class="inputwidth" maxlength="255" />';
            echo help('users-workonusers.html#users-workonusers-editusersettings-login'); 
        } else { 
            echo '<input type="hidden" name="user" value="'.htmlspecialchars($_POST['user']).'" />'
                .htmlspecialchars($_POST['user']);
        }

Doch wie sage ich ihm jetzt, dass er mir dieses Feld bitte zum editieren freigeben soll WENN ich ein Admin bin und der User ein Mitglied ist und NUR dann?! sonst wie gehabt.

es müsste doch machbar sein mit einer if Abfrage wenn $_SESSION['SID_user']['admin']<ROLE_SUPERUSER und DB Feld 'admin' = 0 er mir folgendes auspuckt
echo '<input type="text" name="user" value="'.htmlspecialchars($_POST['user']).'" class="inputwidth" maxlength="255" />';
und wenn nicht else der Code wo jetzt drin steht?!!

Bin ich da auf dem richtigen Weg ... oder fehlt noch was??

Beitrag von **MarkusR** » 07.10.2006 18:39

Ich würde es mal mit
>ROLE_SUPERUSER
versuchen...

Ralf · Beitrag von **Ralf** » 07.10.2006 18:43

Danke habe ich auch gemerkt!!

Habe es jetzt so gelöst:

Suche in _admin/users.php (Achtung wieder ohne die php Kommentierungen am Anfang und Ende vom Code!!)

Code: Alles auswählen

        if ($_REQUEST['id']<=0) {
            echo '<input type="text" name="user" value="'.htmlspecialchars($_POST['user']).'" class="inputwidth" maxlength="255" />';
            echo help('users-workonusers.html#users-workonusers-editusersettings-login'); 
        } else { 
            echo '<input type="hidden" name="user" value="'.htmlspecialchars($_POST['user']).'" />'
                .htmlspecialchars($_POST['user']);
        }

ersetze es durch

Code: Alles auswählen

		if ($_SESSION['SID_user']['admin']>=ROLE_SUPERUSER && $_POST['admin']==0) {
            echo '<input type="text" name="user" value="'.htmlspecialchars($_POST['user']).'" class="inputwidth" maxlength="255" />';
			echo help('users-workonusers.html#users-workonusers-editusersettings-login');
        } else {
        	if ($_REQUEST['id']<=0) {
            	echo '<input type="text" name="user" value="'.htmlspecialchars($_POST['user']).'" class="inputwidth" maxlength="255" />';
            	echo help('users-workonusers.html#users-workonusers-editusersettings-login'); 
        	} else { 
            	echo '<input type="hidden" name="user" value="'.htmlspecialchars($_POST['user']).'" />'
                	.htmlspecialchars($_POST['user']);
        	}
		}

ist das so OK oder habe ich irgendwelche Sicherheitsdinger vergessen zu beachten??

cu Ralf

Beitrag von **MarkusR** » 07.10.2006 18:56

Funktioniert es denn wie gewünscht?

Ansonsten kannst Du sicherheitstechnisch nicht viel falsch machen, da es ja nur das absendende Formular und nicht das verarbeitende Script ist...

Ralf · Beitrag von **Ralf** » 09.10.2006 01:15

Ja danke, es funktioniert wie gewünscht!!