Erfolgreicher Dateiupload trotz Entzug der Rechte

Dieses Forum enthält Diskussionen zu Bugs in ConPresso 4 und deren Lösungen.
Antworten
mabi
ConPresso-Newbie
Beiträge: 5
Registriert: 02.11.2005 17:01
Wohnort: Österreich

Erfolgreicher Dateiupload trotz Entzug der Rechte

Beitrag von mabi »

Hallo,

ich habe heute mal' probeweise einen Dateiupload als Redakteur versucht, dem dieses Recht eigentlich entzogen wurde (Der Test erfolgte auf einem realen Webserver).

Ich war ziemlich verdutzt, wie mir CP 4.0.2 den erfolgreichen Upload meldete.
Da ich ein Update von einer CP 3.4.x Version machte, dachte ich das da wohl was in die Hose gegangen ist und erstellte einen neuen User, dem ich erneut alle Rechte entzogen habe. (Aber auch bei diesem User funktioniert der Dateiupload.) Weiters können bereits hochgeladene Dateien gelöscht werden!

Woran kann das liegen!?

mfg
mabi

Anmerkung:
Am CP4 php-Code habe ich nur den Editor laut Anleitung von Balu, deaktiviert (RTECheck .....) - das sollte meiner Meinung für die Rechte keine Bedeutung haben.
verwendete Module: Newsletter-Modul RC2 (auch hier wurde das Uploadrecht entzogen)
Benutzeravatar
semf
Modul-Entwickler
Beiträge: 1853
Registriert: 01.01.1970 01:00
Wohnort: Gütersloh-Friedrichsdorf
Hat sich bedankt: 14 Mal
Danksagung erhalten: 40 Mal
Kontaktdaten:

Beitrag von semf »

hallo mabi,

ich denke, du stolperst über die conpresso-eigenart, das du immer bilder hochladen kannst, die für alle rubriken zugreifbar sind! und damit auch für alle löschbar!

du kannst ein workaround ausprobieren:

öffne die datei basic_navigation.inc.php und ersetzte (ca. zeile 143 ff.)

Code: Alles auswählen

    $GLOBALS['navigation']['Files'][] = array(
        'caption'=>'upload files',
        'url'=>BASE_REL.'_admin/upload_files.php'
    );

//durch das hier:

    if ($_SESSION['SID_stufe3'] || $_SESSION['SID_user']['admin']>=ROLE_SUPERUSER) {
    $GLOBALS['navigation']['Files'][] = array(
        'caption'=>'upload files',
        'url'=>BASE_REL.'_admin/upload_files.php'
    );
	}
damit kann jemand ohne rubrikspezifische upload-rechte nicht einfach dateien uploaden. hat jemand uploadrechte für eine rubrik, dann kann er allerdings dateien für die rubrik und alle hochladen!

ps: das ganze kann man natürlich auch für bild/datei bearbeiten ausweiten!
Viel Erfolg!

Module ConPresso 4.x
Latest News
Tell-a-friend

Module ConPresso 3.4.x
Index_X
Kontakt
RSS-Feed
Umfrage
Gästebuch
Tell-a-Friend

Modul-Download
mabi
ConPresso-Newbie
Beiträge: 5
Registriert: 02.11.2005 17:01
Wohnort: Österreich

Beitrag von mabi »

hallo semf,

Danke für die prompte Antwort - der Workaround funktioniert (, d.h. der Navigationslink "Dateien hochladen" erscheint nur mehr bei authorisierten Benutzern).

bzgl. Ps: Wenn ich dich richtig verstehe, brauche ich in der angegebenen Datei nur die darauf folgenden Abschnitte ebenso zu ergänzen, um nachfolgende Navigationspunkte ebenso abhängig von den Uploadrechten zu machen.

z.B: statt

Code: Alles auswählen

$GLOBALS['navigation']['Files'][] = array(
        'caption'=>'work on images',
        'url'=>BASE_REL.'_admin/manage_images.php'
    );
// folgenden Code:
     if ($_SESSION['SID_stufe3'] || $_SESSION['SID_user']['admin']>=ROLE_SUPERUSER) {
$GLOBALS['navigation']['Files'][] = array(
        'caption'=>'work on images',
        'url'=>BASE_REL.'_admin/manage_images.php'
    );
    }
Hat jemand uploadrechte für eine rubrik erhalten, dann kann er sowohl hochladen als auch löschen.

Lässt sich das löschen auch extra unterbinden - ein redakteur könnte ja wenn er uploadrechte hat versehentlich oder absichtlich Dateien andererer Redakteure, etc. löschen.

mfg
mabi
Benutzeravatar
semf
Modul-Entwickler
Beiträge: 1853
Registriert: 01.01.1970 01:00
Wohnort: Gütersloh-Friedrichsdorf
Hat sich bedankt: 14 Mal
Danksagung erhalten: 40 Mal
Kontaktdaten:

Beitrag von semf »

das mit den anderen navigationspunkten ist richtig!

was das löschen der uploads betrifft:
also zumindest wird in der entsprechenden tabelle eine user_id gespeichert - also theoretisch wäre das möglich, nur dem uploader das löschen zu erlauben.

aber bei allem stellt sich die frage, ob ein wenig erzieherische maßnahmen da nicht besser helfen!
Viel Erfolg!

Module ConPresso 4.x
Latest News
Tell-a-friend

Module ConPresso 3.4.x
Index_X
Kontakt
RSS-Feed
Umfrage
Gästebuch
Tell-a-Friend

Modul-Download
mabi
ConPresso-Newbie
Beiträge: 5
Registriert: 02.11.2005 17:01
Wohnort: Österreich

Beitrag von mabi »

Danke nochmals, ich bin auch der Meinung dass erzieherische Maßnahmen reichen sollten - und wenn wiedererwarten doch mal was gelöscht wird, weiss man ja, wem auf die Fingern zu klopfen ist, da es netterweise ein Logfile gibt wo auch dieser Vorgang protokolliert wird (dort hätte ich eigentlich vor dem Gedankenspiel reinschauen sollen - na ja nachher ist man immer gscheiter').

So long!
mabi
Antworten