Nachdem nun meine PM`s laufen habe ich folgenden Bug festgestellt.
Ein User kann eine PM verschicken und dies ohne Angabe des Absenders, dazu löscht er nach dem einloggen einfach den usernamen aus dem Feld heraus. Ich habe den pm Message hack 2.0 von scriptkeeper.de laufen.
Lässt man bei diesem Hach die Felder Thema oder Nachricht lehr kommt es zu einer erneuten Abfrage der eingaben. Bei Username oder Passwort leider nicht.
Dieser Code ist glaube ich dafür verantwortlich: if ($in{'action'} eq "send") { &user_check; &valid_recip; &check_pm_status; if ($prsubject eq $null || $prmessage eq $null) {
&print_header1;
print "Bitte füllen Sie alle Felder aus und klicken sie dann "private Nachricht senden" !!!n"; print ""; &print_footer; exit; }
Ich habe dann versucht bei if ($prsubject eq $null || $prmessage eq $null) || $user eq $null und bei if ($prsubject eq $null) { print "
Thema:
n"; } if ($user eq $null) { print "
Thema:
n"; } hinzuzufügen. Ohne Erfolg Nicht nur das Ein User ohne Absender schicken kann, nein es ist auch möglich einen falschen Absender einzutragen. Das ist natürlich fatal. Ansonsten gäbe es ja noch die Möglichkeit per yavaScript eine Eingabe zu erzwingen.
Donate to UBBDev today to help aid in Operational, Server and Script Maintenance, and Development costs.
Please also see our parent organization VNC Web Services if you're in the need of a new UBB.threads Install or Upgrade, Site/Server Migrations, or Security and Coding Services.