[PHP] PHPKit Bilder Galerie Zugriff Admin Bereich

[fruchti]

Moin!

Ich hätte nochmal ne Frage zu meiner Bildergalerie in PHPKit:
Und zwar: Die Galerie hat einen Admin bereich, der eigentlich nur für Administratoren freigegeben sein sollte. Doch ich habe einen User in eine Usergruppe hinzugefügt, und dieser User hat auch Zugriff auf den Admin Bereich der Galerie!
Bemerkung: Ich meine nicht den Admin des PHPKits sondern den der Galerie!

Wie kann ich den Script so ändern, dass ausnamslos nur Administratoren auf diesen Bereich zugriff haben?

Bitte helft mir...

Danke im Vorraus!!

 

[Nase]

Das Problem sollte in dieser Funktion zu finden sein:

function get_user($username) {
	GLOBAL $servercon;
	GLOBAL $pf;
	$tab = $pf."_user";
	$get_admin = mysql_query("SELECT * FROM ".$tab." WHERE user_name = '$username'",$servercon);
	$admin = mysql_fetch_array($get_admin);
	echo mysql_error($servercon);
return($admin[user_status]);
}

Dort wird ja der Benutzer, dessen Name in der Datenbank zu finden ist, beim Login automatisch zum Admin. Also ist das gesamte Skript nur auf einen Administrator ausgelegt, wenn ich das richtig sehe.

Lösung:
1. Den anderen Benutzer wieder löschen.
2. Die Datenbanktabelle um ein Feld "status" oder ähnliches erweitern, dass dem Benutzer diverse Rechte zuordnet. Das ist allerdings nicht ohne tiefgreifende Änderungen am Skript möglich.

Verbessert mich, falls ich falsch liege, aber ich sehe da momentan keine anderen Möglichkeiten.

 

[fruchti]

Ich muss den Benutzer und dieser Benutzergruppe lassen, da er artikel schreibt!

2. Die Datenbanktabelle um ein Feld "status" oder ähnliches erweitern, dass dem Benutzer diverse Rechte zuordnet. Das ist allerdings nicht ohne tiefgreifende Änderungen am Skript möglich.

Könntest du mir zu diesem Punkt noch genaueres sagen?
Was meinst du mit status?

 

[Nase]

Naja, ich weiss ja nicht wie die Tabellenstruktur aussieht. Aber man könnte es so machen, dass man die Tabelle _users (oder wie die bei dir heisst), um ein Feld Status erweitert. Dort trägt man dann die Rechte. Für den Admin z.B. Admin, für deinen Mitbenutzer z.B. Redakteur. Jetzt prüft die Funktion (die ich oben zitiert habe), ob der angemeldetet Benutzer den Status Admin (oder eben Redakteur) hat und verteilt danach die Rechte, lässt also nur einen Benutzer mit Status Admin auf die Kontrollen zugreifen.
Ich kann aber gerade nicht überblicken, wieviele Änderungen an dem Skript vorgenommen werden müssten.

 

[fruchti]

Könnte ich auch nur bestimmte Usernamen wie zb Admin für den Admin bereich freischalten und nicht Usergruppen wie du sie angesprochen hast?

Sieht dann der Skript so irgendwie aus?

function get_user($username) {
GLOBAL $servercon;
GLOBAL $pf;
$tab = $pf."Admin";
$get_admin = mysql_query("SELECT * FROM ".$tab." WHERE user_name = '$username'",$servercon);
$admin = mysql_fetch_array($get_admin);
echo mysql_error($servercon);
return($admin[user_status]);
}

Oder wie müsste das aussehen?

 

[Nase]

Sollte möglich sein.

$get_admin = mysql_query("SELECT * FROM ".$tab." WHERE user_name = 'Admin'",$servercon);

$tab darfst du nicht ändern, denn da wird gespeichert, wie der Name der Tabelle in der Datenbank ist.

 

[fruchti]

Klappt irgendwie nicht!
Hast du noch ne andere Lösung?

 

[Nase]

Was geht denn genau nicht? Gibts eine Fehlermeldung?

 

[fruchti]

Fehlermeldung kommt keine, es bleibt alles gleich, der User den ich in die Usergruppe hinzugefügt habe hat weiter zugriff auf den Admin Bereich, beim Administrator passt auch noch alles!

 

[Nase]

Gerade nochmal in das Skript geschaut, gibt es in irgendeiner Datei eine Funktion "adminaccess". Wenn ja, dann poste die mal bitte.

 

[fruchti]

adminaccess gibt es nur in der ganz oben geposteten datei!

Ich poste mal den ganzen Skript mit allen Dateien!

Download HIER

 

[Nase]

Das können aber nicht alle Dateien sein. Es fehlt auch der komplette Admin- und Config-Ordner.

 

[fruchti]

Tschuldige!
Dachte du kennst PHPKit genauer

HIER die gesamte PHPKit Software

 

[Nase]

Nein, ich kenn das Paket leider nicht. Und da scheint auch wohl das Problem zu liegen. Ich finde einfach nicht, wo adminaccess definiert wird.

Edit: Hab die Funktion gefunden. Liegt in /admin/lib/lib_access.php. Und ich muss sagen, ich hab keine Ahnung. Ohne das gesamte Skript auseinander zunehmen, wird das glaube ich nichts .

 

[fruchti]

Das seltsame ist ja, dass das Problem in der Usergruppe liegt!
Der Administrator wird ja richtig deviniert, nur sobald ich einen User in eine Usergruppe hinzufüge, kann er auf den Admin Bereich meines Bilderskripts (NICHT DEN ADMIN BEREICH VON PHPKIT) zugreifen!

Hast du ne ahnung warum?

 

[Nase]

Vielleicht hast du irgendwelche Einstellungen falsch getroffen. So dass auch andere Benutzergruppen Zugriff auf die Galerie haben. Aber das denk ich ist nicht der Fall. Vielleicht ist es ja auch ein Bug im Rechtemanagement.
Du solltest trotzdem mal versuchen, den Entwickler darauf anzusprechen. Der kann das Problem am besten lösen. Wenn der sich querstellt, würde ich aber direkt auf ein anderes System umsteigen (oder selbst ein code, wenn du das kannst).

 

[fruchti]

Die Zugriffsrechte sind korrekt eingestellt
Der Entwickler hat leider den Support aufgegeben, selber kann ich sowas leider nicht programmieren (das zeigen ja die oberen Beiträge )
Naja dann wer ichs so lassen.

Jedenfalls vielen vielen dank für deine Hilfe

 

[Nase]

Kein Thema. Hätte dir gerne helfen wollen, aber geht leider nicht.

Kannst mir dafür ja bei meinem Problem helfen .

 

[fruchti]

Wenn ich deine Fragen Beantworten kann dann gerne!