Hi,
ich hab so eine Art msg.system gecodet und jetzt will ich noch einen Sicherheitsschutz einbauen, dass nur der User die sms lesen kann für den es bestimmt war.
Aber im Moment könnte man einfach mit der URL zum lesen + id eine andere msg lesen.
Aber das soll ja nicht sein
Ich hab das mit einem Einloggsystem gemacht + Cookies.
Dann hab ich einen Vergleich gemacht ob die Userid mit der Userid der SMS übereinstimmt, aber irgendwie kann man das dann trotzdem lesen.
Hier mal der wichtige Code dafür:
<?
break;
case "view":
?>
<?
include("config.inc.php");
include("connect.inc.php");
$grr1 = mysql_query("SELECT id FROM crew WHERE password = '$password'");
$grr2 = mysql_num_rows($grr1);
while($ioe = mysql_fetch_object($grr1)) {
include("config.inc.php");
include("connect.inc.php");
$doe1 = mysql_query("SELECT id FROM sms WHERE userid = '$ioe->id'");
$doe2 = mysql_num_rows($doe1);
while($ruf = mysql_fetch_object($doe1)) {
include("config.inc.php");
include("connect.inc.php");
$abfrage = "SELECT * FROM sms WHERE id = '$msgid'";
$ergebnis = mysql_query($abfrage);
while($row = mysql_fetch_object($ergebnis))
{
include("config.inc.php");
include("connect.inc.php");
$mensch3 = "SELECT * FROM crew WHERE id = '$row->senderid'";
$mensch4 =mysql_query($mensch3);
while($moep = mysql_fetch_object($mensch4)) {
?>
<?
if ($ioe->id != $row->userid)
{
echo "<b>Zugriff verweigert</b>";
}
else
{
?>
<font size=4><b><?php echo $row->betreff; ?></b></font>
<br>
<font size=1>Written by <?php echo $moep->nickname; ?> @ <?
$datum = date("d-m-y",$row->postzeit);
$uhrzeit = date("H:i",$row->postzeit);
echo "$datum, $uhrzeit";
?></font>
<p>
<font size=1>overview / write new msg</font>
<hr color=#000000 size=1>
<p>
<?php echo nl2br ($row->text); ?>
<p> </p>
<p align=right>
<b>Antworten...</b>
<?
}
}
}
}
}
?>
<?
break;
}
?>
ich hab so eine Art msg.system gecodet und jetzt will ich noch einen Sicherheitsschutz einbauen, dass nur der User die sms lesen kann für den es bestimmt war.
Aber im Moment könnte man einfach mit der URL zum lesen + id eine andere msg lesen.
Aber das soll ja nicht sein
Ich hab das mit einem Einloggsystem gemacht + Cookies.
Dann hab ich einen Vergleich gemacht ob die Userid mit der Userid der SMS übereinstimmt, aber irgendwie kann man das dann trotzdem lesen.
Hier mal der wichtige Code dafür:
<?
break;
case "view":
?>
<?
include("config.inc.php");
include("connect.inc.php");
$grr1 = mysql_query("SELECT id FROM crew WHERE password = '$password'");
$grr2 = mysql_num_rows($grr1);
while($ioe = mysql_fetch_object($grr1)) {
include("config.inc.php");
include("connect.inc.php");
$doe1 = mysql_query("SELECT id FROM sms WHERE userid = '$ioe->id'");
$doe2 = mysql_num_rows($doe1);
while($ruf = mysql_fetch_object($doe1)) {
include("config.inc.php");
include("connect.inc.php");
$abfrage = "SELECT * FROM sms WHERE id = '$msgid'";
$ergebnis = mysql_query($abfrage);
while($row = mysql_fetch_object($ergebnis))
{
include("config.inc.php");
include("connect.inc.php");
$mensch3 = "SELECT * FROM crew WHERE id = '$row->senderid'";
$mensch4 =mysql_query($mensch3);
while($moep = mysql_fetch_object($mensch4)) {
?>
<?
if ($ioe->id != $row->userid)
{
echo "<b>Zugriff verweigert</b>";
}
else
{
?>
<font size=4><b><?php echo $row->betreff; ?></b></font>
<br>
<font size=1>Written by <?php echo $moep->nickname; ?> @ <?
$datum = date("d-m-y",$row->postzeit);
$uhrzeit = date("H:i",$row->postzeit);
echo "$datum, $uhrzeit";
?></font>
<p>
<font size=1>overview / write new msg</font>
<hr color=#000000 size=1>
<p>
<?php echo nl2br ($row->text); ?>
<p> </p>
<p align=right>
<b>Antworten...</b>
<?
}
}
}
}
}
?>
<?
break;
}
?>
