Hallo,
ich habe heute mal' probeweise einen Dateiupload als Redakteur versucht, dem dieses Recht eigentlich entzogen wurde (Der Test erfolgte auf einem realen Webserver).
Ich war ziemlich verdutzt, wie mir CP 4.0.2 den erfolgreichen Upload meldete.
Da ich ein Update von einer CP 3.4.x Version machte, dachte ich das da wohl was in die Hose gegangen ist und erstellte einen neuen User, dem ich erneut alle Rechte entzogen habe. (Aber auch bei diesem User funktioniert der Dateiupload.) Weiters können bereits hochgeladene Dateien gelöscht werden!
Woran kann das liegen!?
mfg
mabi
Anmerkung:
Am CP4 php-Code habe ich nur den Editor laut Anleitung von Balu, deaktiviert (RTECheck .....) - das sollte meiner Meinung für die Rechte keine Bedeutung haben.
verwendete Module: Newsletter-Modul RC2 (auch hier wurde das Uploadrecht entzogen)
Erfolgreicher Dateiupload trotz Entzug der Rechte
-
- ConPresso-Newbie
- Beiträge: 5
- Registriert: 02.11.2005 18:01
- Wohnort: Österreich
-
- Modul-Entwickler
- Beiträge: 1853
- Registriert: 01.01.1970 02:00
- Wohnort: Gütersloh-Friedrichsdorf
- Hat sich bedankt: 14 Mal
- Danksagung erhalten: 40 Mal
hallo mabi,
ich denke, du stolperst über die conpresso-eigenart, das du immer bilder hochladen kannst, die für alle rubriken zugreifbar sind! und damit auch für alle löschbar!
du kannst ein workaround ausprobieren:
öffne die datei basic_navigation.inc.php und ersetzte (ca. zeile 143 ff.)
damit kann jemand ohne rubrikspezifische upload-rechte nicht einfach dateien uploaden. hat jemand uploadrechte für eine rubrik, dann kann er allerdings dateien für die rubrik und alle hochladen!
ps: das ganze kann man natürlich auch für bild/datei bearbeiten ausweiten!
ich denke, du stolperst über die conpresso-eigenart, das du immer bilder hochladen kannst, die für alle rubriken zugreifbar sind! und damit auch für alle löschbar!
du kannst ein workaround ausprobieren:
öffne die datei basic_navigation.inc.php und ersetzte (ca. zeile 143 ff.)
Code: Alles auswählen
$GLOBALS['navigation']['Files'][] = array(
'caption'=>'upload files',
'url'=>BASE_REL.'_admin/upload_files.php'
);
//durch das hier:
if ($_SESSION['SID_stufe3'] || $_SESSION['SID_user']['admin']>=ROLE_SUPERUSER) {
$GLOBALS['navigation']['Files'][] = array(
'caption'=>'upload files',
'url'=>BASE_REL.'_admin/upload_files.php'
);
}
ps: das ganze kann man natürlich auch für bild/datei bearbeiten ausweiten!
Viel Erfolg!
Module ConPresso 4.x
Latest News
Tell-a-friend
Module ConPresso 3.4.x
Index_X
Kontakt
RSS-Feed
Umfrage
Gästebuch
Tell-a-Friend
Modul-Download
Module ConPresso 4.x
Latest News
Tell-a-friend
Module ConPresso 3.4.x
Index_X
Kontakt
RSS-Feed
Umfrage
Gästebuch
Tell-a-Friend
Modul-Download
-
- ConPresso-Newbie
- Beiträge: 5
- Registriert: 02.11.2005 18:01
- Wohnort: Österreich
hallo semf,
Danke für die prompte Antwort - der Workaround funktioniert (, d.h. der Navigationslink "Dateien hochladen" erscheint nur mehr bei authorisierten Benutzern).
bzgl. Ps: Wenn ich dich richtig verstehe, brauche ich in der angegebenen Datei nur die darauf folgenden Abschnitte ebenso zu ergänzen, um nachfolgende Navigationspunkte ebenso abhängig von den Uploadrechten zu machen.
z.B: statt
Hat jemand uploadrechte für eine rubrik erhalten, dann kann er sowohl hochladen als auch löschen.
Lässt sich das löschen auch extra unterbinden - ein redakteur könnte ja wenn er uploadrechte hat versehentlich oder absichtlich Dateien andererer Redakteure, etc. löschen.
mfg
mabi
Danke für die prompte Antwort - der Workaround funktioniert (, d.h. der Navigationslink "Dateien hochladen" erscheint nur mehr bei authorisierten Benutzern).
bzgl. Ps: Wenn ich dich richtig verstehe, brauche ich in der angegebenen Datei nur die darauf folgenden Abschnitte ebenso zu ergänzen, um nachfolgende Navigationspunkte ebenso abhängig von den Uploadrechten zu machen.
z.B: statt
Code: Alles auswählen
$GLOBALS['navigation']['Files'][] = array(
'caption'=>'work on images',
'url'=>BASE_REL.'_admin/manage_images.php'
);
// folgenden Code:
if ($_SESSION['SID_stufe3'] || $_SESSION['SID_user']['admin']>=ROLE_SUPERUSER) {
$GLOBALS['navigation']['Files'][] = array(
'caption'=>'work on images',
'url'=>BASE_REL.'_admin/manage_images.php'
);
}
Lässt sich das löschen auch extra unterbinden - ein redakteur könnte ja wenn er uploadrechte hat versehentlich oder absichtlich Dateien andererer Redakteure, etc. löschen.
mfg
mabi
-
- Modul-Entwickler
- Beiträge: 1853
- Registriert: 01.01.1970 02:00
- Wohnort: Gütersloh-Friedrichsdorf
- Hat sich bedankt: 14 Mal
- Danksagung erhalten: 40 Mal
das mit den anderen navigationspunkten ist richtig!
was das löschen der uploads betrifft:
also zumindest wird in der entsprechenden tabelle eine user_id gespeichert - also theoretisch wäre das möglich, nur dem uploader das löschen zu erlauben.
aber bei allem stellt sich die frage, ob ein wenig erzieherische maßnahmen da nicht besser helfen!
was das löschen der uploads betrifft:
also zumindest wird in der entsprechenden tabelle eine user_id gespeichert - also theoretisch wäre das möglich, nur dem uploader das löschen zu erlauben.
aber bei allem stellt sich die frage, ob ein wenig erzieherische maßnahmen da nicht besser helfen!
Viel Erfolg!
Module ConPresso 4.x
Latest News
Tell-a-friend
Module ConPresso 3.4.x
Index_X
Kontakt
RSS-Feed
Umfrage
Gästebuch
Tell-a-Friend
Modul-Download
Module ConPresso 4.x
Latest News
Tell-a-friend
Module ConPresso 3.4.x
Index_X
Kontakt
RSS-Feed
Umfrage
Gästebuch
Tell-a-Friend
Modul-Download
-
- ConPresso-Newbie
- Beiträge: 5
- Registriert: 02.11.2005 18:01
- Wohnort: Österreich
Danke nochmals, ich bin auch der Meinung dass erzieherische Maßnahmen reichen sollten - und wenn wiedererwarten doch mal was gelöscht wird, weiss man ja, wem auf die Fingern zu klopfen ist, da es netterweise ein Logfile gibt wo auch dieser Vorgang protokolliert wird (dort hätte ich eigentlich vor dem Gedankenspiel reinschauen sollen - na ja nachher ist man immer gscheiter').
So long!
mabi
So long!
mabi