Op m'n site heb ik een inlog systeem. Wanneer ik iemand verban werkt het normaal gesproken wel! die gene wordt meteen naar de "verbannen pagina" doorgestuurd! Maar nu is er één persoon die er nog steeds in kan!
Het werkt ongeveer zo:
In database staat bij de gegevens van de persoon het aantal "waarschuwingen" als dat 2 is wordt de persoon verbannen!
Dus wanneer je inglogd wordt er in de database gekeken of de persoon in database meer of minder dan 2 waarschuwingen heeft! En op elke pagina wordt weer opnieuw gekeken of de persoon niet meer dan 2 waarschuwingen heeft.
Nu wou ik graag weten hoe het kan dat de persoon nog kan inloggen! En wat ik daar tegen kan doen?
?
Onbekende gebruiker
15-08-2008 16:08
Westerv schreef op 15.08.2008 16:03
Bij elke pagina wordt eerst config.php geincluded.
(Alle paginas zitten toch achter index.php?pag= dus wordt het 2x gecontroleerd)
Dit staat in global.php:
<?php
if ($_COOKIE['gebruikersnaam'] != "" AND $_COOKIE['loggedid'] != ""){
$select = "SELECT * FROM members WHERE gebruikersnaam='" . $_COOKIE['gebruikersnaam'] . "' AND activatie='ja'";
$query = mysql_query($select);
$list = mysql_fetch_object($query);
if ($list->status == "Verbannen" || $list->strafpunten >= "2"){
echo
// dan tekst dat persoon er niet meer in kan //
;
exit();
}
?>
Dit:
is ob. Ob_* hoef je eigenlijk nergens op een website te gebruiken (uitzonderingen daargelaten).
Verder wil je alles weten van die gebruiker? Nee, slecteer dan alleen die kolommen.
Gewoon een nieuwe gebruiker aanmaken en je bent om je beveiliging heen.
Verder ben ik tegen ipbans.
Voor de rest wat die gast boven mij zegt.
----------------------------
Dit:
[ob image]
is ob. Ob_* hoef je eigenlijk nergens op een website te gebruiken (uitzonderingen daargelaten).
Verder wil je alles weten van die gebruiker? Nee, slecteer dan alleen die kolommen.
Gewoon een nieuwe gebruiker aanmaken en je bent om je beveiliging heen.
Verder ben ik tegen ipbans.
Voor de rest wat die gast boven mij zegt.
--------------------------
Dankje:)
Dan zou ik nog graag even weten hoe het dan kan wanneer ik mezelf bijv. 2 "strafpunten" geef, Dat ik wel gewoon verbannen word?
Dan heb je waarschijnlijk de status op "Verbannen" staan.
?
Onbekende gebruiker
15-08-2008 16:14
Westerv schreef op 15.08.2008 16:10
Dankje:)
Dan zou ik nog graag even weten hoe het dan kan wanneer ik mezelf bijv. 2 "strafpunten" geef, Dat ik wel gewoon verbannen word?
Mjah, zal wel aan je sql injections liggen. Dan kan je zelf effe je gegevens aanpassen :-) (ban weg, geen id of het een spel is, maar als dat het is, even aantal levels omhoog + resources).
Nee dat stond er niet,,
raar maar als 't zo werkt ben ik tevreden:)
En zo veel leden zijn er niet;) Is nog wel bij te houden. Dan moet die gene ook heel veel mail adressen aanmaken!
Maar Bedankt!
Maar gezien jouw script is het niet moeilijk om het te omzeilen. Met gemak kan ik me voordoen als een andere gebruiker en sql injection is ook eenvoudig uit te voeren.
