Tach..
Ich weiß ja nicht, obs schon jemandem aufgefallen ist, aber mit dem paket "News Extended 1.0b" von Mairus Seite können auch Gäste kommentare löschen!
Evt. ist das nur bei mir so, aber als ich etwas auf meinem Webspace gebastelt hab, ist es mir aufgefallen.
Ich hab dann gleich mal den Code etwas geändert, damit die das nicht mehr können:
...
....# kommentar loeschen
if ($menu->getA(2) == 'd' AND is_numeric($menu->getE(2)) AND loggedin() AND has_right(-7, 'news')) {
$kommentar_id = escape($menu->getE(2),'integer');
db_query("DELETE FROM prefix_koms WHERE uid = ".$nid." AND cat = 'NEWS' AND id = ".$kommentar_id);
}
# kommentar loeschen
$kategorie = news_find_kat($row->news_kat);
$textToShow = $row->html ? $row->news_text : bbcode($row->news_text);
$textToShow = str_replace('[PREVIEWENDE]','',$textToShow);
if ( !empty($such) ) {
$textToShow = markword($textToShow,$such);
}
$tpl = new tpl ( 'news.htm' );
$ar = array (
'TEXT' => $textToShow,
'KATE' => $kategorie,
'NID' => $nid,
'uname' => $_SESSION['authname'],
'ANTISPAM' => (loggedin()?'':get_antispam ('newskom', 0)),
'NAME' => $row->news_title,
'info' => $kom_info
);
$tpl->set_ar_out($ar, 2 );
if ($komsOK) {
$tpl->set_ar_out ( array ( 'NAME' => $row->news_title , 'NID' => $nid, 'style' => loggedin() ? 'style="display:none;"' : ''), 3 );
}
$erg1 = db_query("SELECT text, name, id FROM `prefix_koms` WHERE uid = ".$nid." AND cat = 'NEWS' ORDER BY id DESC");
$ergAnz1 = db_num_rows($erg1);
if ( $ergAnz1 == 0 ) {
echo '<b>'.$lang['nocomments'].'</b>';
} else {
$zahl = $ergAnz1;
while ($row1 = db_fetch_assoc($erg1)) {
$row1['text'] = bbcode(trim($row1['text']));
if (loggedin() AND has_right(-7, 'news')) {
$row1['text'] .= '<a href="javascript:delkom('.$nid.','.$row1['id'].')"><img src="include/images/icons/del.gif" alt="löschen" border="0" title="löschen" /></a>';
}
$tpl->set_ar_out( array('NAME' => $row1['name'], 'TEXT' => $row1['text'], 'ZAHL' => $zahl ) , 4 );
$zahl--;
}
}
}
$tpl->out(5);
}
$design->footer();
?>
Recht weit am ende hab ich in der "if" abfrage ein loggedin() AND eingefügt.
Keine ahnung, ob das sicherheitstechnisch schon genügt, aber zumindest ist der "Löschen" Button weg.
Mfg Fr33man
Alles, was einen Anfang hat, hat auch ein Ende, Mr. Fr33man.
www.StalKerZ.de - German Gaming | www.Xianlung.de - TS & Webspace Sponsor