error al eliminar

falillista · #1 (**permalink**) 21/09/2010, 15:54

Buenos días!

tengo un software y con un panel de admin,el panel de admin tiene login con contraseña -se guarda en mysql-,y descubrí que si yo estoy deslogeado y pongo "adm/admin.php?mode=delete&id=1" por ejemplo,esa entrada se borra.

-sin estar logeado- si estoy logeado,con lógica,sí.

Entonces yo estoy sin logear,pongo como dije "adm/admin.php?mode=delete&id=1" por ejemplo y me dice login pero al mirar la entrada ya se ha a borrado,sin más.Es como si estuviese logeado,pero no es así.Es un grave error.

Error que por falta de tiempo no pude mirar a fondo,pero tampoco lo e podido arreglar

Si alguien sabe mañana a la tarde,leeré comentarios.

Gracias.

Código del que digo,tiene el error:

http://pastebin.com/cqSrBeaV

(en la parte "case: delete" hay esta esa parte)

quiero que no elimine ninguna entrada,que pida el login normalmente -lo pide pero borra la entrada-,si no entienden lo que dije,si pueden leanlo 2 veces,si pueden.

Gracias y perdonen las molestias.

script entero: http://dedesuyblog.googlecode.com/fi...7;20v1.0.4.zip

GatorV · #2 (**permalink**) 21/09/2010, 15:58

Simplemente tendrías que comprobar al inicio de tu script ya sea leyendo una variable de sesión o algo similar.

Saludos.

falillista · #3 (**permalink**) 22/09/2010, 09:10

probé poniendo en header.php (del admin)

un session_start y tampoco e probado algunas cosas más,pero sigue borrándose sin más :s!

voy a seguir mirando,que acabo de llegar XD!

pd: a este script le arreglé algunos bugs anteriormente,pero este ni idea,y eso que la proxima version le corregi 2 o 3 más.

podéis probar el error aca:

http://rafaelblogger.cz.cc/

el primer post tiene por id: 15.

sería_:

http://rafaelblogger.cz.cc/adm/admin...ode=delete&id=

falillista · #4 (**permalink**) 03/10/2010, 06:49

buenas después de un tiempo.

no pude arreglar nada por falta de tiempo,ya que estoy entrenándome para estar listo -físicamente- en un equipo de Fútbol.Sala y bueno, estoy todos los dias desde que salgo de clase hasta las 20:00 pm o así hechando pachangas con los amigos,y bueno hasta ahora no me a dado mucho tiempo a mirar el script. (hoy es domingo y me tomé un descanso xD)

e anotado varios errores que tiene:

*Se puede borrar cualquier post,siendo visitante.
*Siendo visitante puedes cambiar la password.
*En algunos hostines al ingresar la contraseña,no te pasa al admin.

e sacado una conclusión,y es la carpeta "adm" o sea,el admin.No tiene mucha seguridad como se ve y tiene algunos errores,entonces pensé si alguien pudiera ayudarme a dejarlo "mejor".

[email protected] es mi correo.

saludos.

pd: si nadie quiere lo miraré con el tiempo de a poco y lo voy arreglando el admin,se agradece igualmente.

egepe · #5 (**permalink**) 03/10/2010, 10:53

Cita:

Iniciado por falillista

Buenos días!

tengo un software y con un panel de admin,el panel de admin tiene login con contraseña -se guarda en mysql-,y descubrí que si yo estoy deslogeado y pongo "adm/admin.php?mode=delete&id=1" por ejemplo,esa entrada se borra.

Lo que pasa es que creo en mi opinión que debes verificar todos tus niveles de seguridad, porque una session no trabaja por arte de magia, tendrías que adicionalmente evaluar que estas manteniendo en esa session y crear un script inicial que valide todo y que sólo se ejecute cualquier script luego de evaluarlo todo.

Pero repito en mi opnion debes verificar todos eso.

Adicionalmente "adm/admin.php?mode=delete&id=1" de verdad que es muy basico y cualquiera lo entendería te recomendaría que los valores no sean tan evidentes

usa nemotécnicos, encriptalos, base64 pero de verdad que debes modificarlo

Y recuerda son recomendaciones y elegiras cuál sera la mejor opción para ti

Saludos