Быстрый лёгкий надёжный форумный движок
Вы не вошли.
Страницы 1
Тема закрыта
Почитал раздел безопасности, полистал форум.
Такого мода не нашел
Пробная версия для предложений и критики.
Что делает:
При каждом обращении админа или модератора к форума проверяется его IP с тем который записан в таблице users (используется поле registration_ip, чтобы новые не плодить).
Если не совпадают, куки на стороне пользователя сбрасывается и для него форум открывается как для гостя.
Если такое произошло админ или модератор должен зайти на форум по новой, чтобы его IP адрес обновился в users.
1. Файл include\functions.php. В функции check_cookie найти это
if (!isset($pun_user['id']) || md5($cookie_seed.$pun_user['password']) !== $cookie['password_hash'])
{
pun_setcookie(0, random_pass(8), $expire);
set_default_user();
return;
}
после вставить это
// START MOD - проверка ip админа и модератора
if ($pun_user['g_id'] < PUN_GUEST && $pun_user['registration_ip'] != get_remote_address())
{
pun_setcookie(0, random_pass(8), $expire);
set_default_user();
return;
}
// END MOD - проверка ip админа и модератора
Сохранить файл.
2. Файл login.php. Найти вот это
if ($group_id == PUN_UNVERIFIED)
$db->query('UPDATE '.$db->prefix.'users SET group_id='.$pun_config['o_default_user_group'].' WHERE id='.$user_id) or error('Unable to update user status', __FILE__, __LINE__, $db->error());
после вставить это
// START MOD - проверка ip админа и модератора
$db->query('UPDATE '.$db->prefix.'users SET registration_ip=\''.get_remote_address().'\' WHERE id='.$user_id) or error('Unable to update user IP', __FILE__, __LINE__, $db->error());
// END MOD - проверка ip админа и модератора
Сохранить файл.
При каждом обращении админа или модератора к форума проверяется его IP с тем который записан в таблице users (используется поле registration_ip, чтобы новые не плодить).
Если не совпадают, куки на стороне пользователя сбрасывается и для него форум открывается как для гостя.
Если такое произошло админ или модератор должен зайти на форум по новой, чтобы его IP адрес обновился в users.
Что-то я не прочувствовал идею... Какой во всей этой проверке смысл? Чтобы кто-то другой, заполучив пароль админа, не получил его прав залогинившись? А если мой ай-пи динамический? Или я туплю?
Какой во всей этой проверке смысл?
Если куки сопрут, то с другого IP он действовать не будет и форум запросит ввести пароль.
тобы кто-то другой, заполучив пароль админа, не получил его прав залогинившись?
А как кто-то другой может получить пароль? Или я чего не понимаю
А если мой ай-пи динамический?
При изменении IP у админа или модератора ему надо будет залогинится по новому.
А как кто-то другой может получить пароль? Или я чего не понимаю
Что значит "как"? С помощью утюга и паяльника, естесственно!
В общем, теперь понял твою идею.
Страницы 1
Тема закрыта