beveiliging met phpbb login en ww op andere pagina's

thomasdebans · Bericht door **thomasdebans** » 12 okt 2003, 22:27

er schijnt een script van PHPBB, als je die include dan kun je die pagina pas zien als je ingelogd bent,

maar nergens kan ik die link vinden..

Podium4 · Bericht door **Podium4** » 12 okt 2003, 23:56

ik kan je wel vertellen hoe je kan laten vereisen dat iemand moet ingelogd zijn op de een pagina die ze willen bekijken....:

Code: Selecteer alles

=========Vind:=====================

// 
// End session management 
// 

========Achter toevoegen:=============

// Make sure the player is registered
$user_id = $userdata['user_id'];
$username = $userdata['username'];
if (!$userdata['session_logged_in'] && $user_id == ANONYMOUS)
{
  $header_location = ( @preg_match("/Microsoft|WebSTAR|Xitami/", getenv("SERVER_SOFTWARE")) ) ? "Refresh: 0; URL=" : "Location: ";
  header($header_location . append_sid("login.$phpEx?redirect=new.$phpEx", true));
  exit;
}

Effe opletten: de gebruiker wordt als deze niet is ingelogd door gestuurd naar login.php..... als je gebruiker inlogd bij login.php worden ze doorgestuurd naar de pagina new.php

Zorg ervoor dat het bestand waar de mensen heen moeten gaan .php is verander dan dat gedeelte in de juiste bestandsnaam.... LET OP: dit is dus niet test.php maar "test" .....

Code: Selecteer alles

redirect=new.$phpEx

New dus veranderen in bestandsnaam naar keuze.....

Zorg ervoor dat het bestand waar de mensen heen moeten gaan staat in de map jouwsite.nl/phpbb2/..... en dus niet in een andere map.....

thomasdebans · Bericht door **thomasdebans** » 13 okt 2003, 18:41

nep, dit iz niet wat ik bedoel...

nu kan iedereen altijd nog naar de pagina new.php (of test.php) als ze het adres maar weten..

ik moet juist een scriptje hebben voor op de pagina new.php bijvoorbeeld, die controleerd of jij ingelogd bent,

zo van (beetje lomp

)

if INGELOGD = YES {
laat dit zien
} else {
niet ingelogd
}

duz dat je uit de cookie of session de gegevens haald die nodig zijn om dit te controleren, de rest kan ik zelf.. glukkig

LadyBug · Bericht door **LadyBug** » 13 okt 2003, 18:42

Dat is dat 8)

Als je ingelogd bent ga je verder.
Ben je niet ingelogd ga je naar login.php

Podium4 · Bericht door **Podium4** » 13 okt 2003, 18:44

thomasdebans schreef:nep, dit iz niet wat ik bedoel...

nu kan iedereen altijd nog naar de pagina new.php (of test.php) als ze het adres maar weten..

ik moet juist een scriptje hebben voor op de pagina new.php bijvoorbeeld, die controleerd of jij ingelogd bent,

zo van (beetje lomp )

if INGELOGD = YES {
laat dit zien
} else {
niet ingelogd
}

weet je zeker dat je het hebt uitgeprobeerd.... ik heb al verschillende nieuwe pagina 's toegevoegd en gemaakt en dit scriptje werkt..... ik weet zeker....

thomasdebans · Bericht door **thomasdebans** » 13 okt 2003, 18:45

dat klopt,
maar als ik gewoon in de adress bar intyp "www.mijnhost.nl/new.php" dan kan ik alles gewoon zien..

en dat moet duz niet

thomasdebans · Bericht door **thomasdebans** » 13 okt 2003, 18:48

als ik goed begrijp moet dir in login.php geplaatst worden toch ??

DaMnNaTiOn · Bericht door **DaMnNaTiOn** » 13 okt 2003, 18:49

volgens mij /includes/page_header.php

thomasdebans · Bericht door **thomasdebans** » 13 okt 2003, 19:00

zit ik nu mis ??
of weten jullie niet wat ik bedoel??
of weten jullie ook nie hoe ik dia data uit het cookie kan halen??

tis volgens mij het cookie, want uit de session data kon ik helemaal nix halen. en uit die van het cookie wel

Leipo · Bericht door **Leipo** » 13 okt 2003, 20:36

Hij wil simpel pagina's toe voegen waarvoor je je eigen moet inloggen..
Als hij dus gewoon de pagina intikt kan iedereen dit zien maar dat is niet zijn bedoeling..
Hij wil simpel genoeg gewoon een pagina zoals een gesloten forum.. je moet ervoor ingelogd zijn..
http://www.phpbbhacks.com/viewhack.php?id=1605 dit is je antwoord denk ik..

thomasdebans · Bericht door **thomasdebans** » 13 okt 2003, 21:00

komt een heel eind in de richting maar ik denk dat ik gewoon maar de login.php ga copieren en flink overhoop ga halen

Leipo · Bericht door **Leipo** » 13 okt 2003, 21:03

http://www.phpbbhacks.com/viewhack.php?id=1406 extra aanvullingkje dan maar..

thomasdebans · Bericht door **thomasdebans** » 13 okt 2003, 21:31

ik heb de oplossing al zelf gemaakt...
voor mensen die het ook willen gebruiken:

Code: Selecteer alles

<?php

define('IN_PHPBB', true);
$phpbb_root_path = './';
include($phpbb_root_path . 'extension.inc');
include($phpbb_root_path . 'common.'.$phpEx);

// Set page ID for session management
$userdata = session_pagestart($user_ip, PAGE_LOGIN);
init_userprefs($userdata);
// End session management

// session id check
if (!empty($HTTP_POST_VARS['sid']) || !empty($HTTP_GET_VARS['sid'])) {
	$sid = (!empty($HTTP_POST_VARS['sid'])) ? $HTTP_POST_VARS['sid'] : $HTTP_GET_VARS['sid'];
} else {
	$sid = '';
}




if( !$userdata['session_logged_in'] ) {

//nog niet ingelogd
?>moet eff inlogen<?

} else {

//reeds ingelogd en toch naar deze pagina
?>ingelogd<?

}

?>

het was niet zo moeilijk... 8)

thomasdebans · Bericht door **thomasdebans** » 13 okt 2003, 22:25

extra gegevens die je er ook uit kan vissen met de boven genoemde script...

Code: Selecteer alles

$userdata['session_logged_in']
$userdata['session_user_id']
$userdata['session_id']
$userdata['username']
$userdata['user_lastvisit']
$userdata['user_level']
$userdata['user_new_privmsg']
$userdata['user_last_privmsg']
$userdata['user_id']
$userdata['user_unread_privmsg']
$userdata['user_popup_pm']

weet je nog meer gegevens, post ze dan eff....

of als je weet hoe je ze allemaal in 1 keer kunt uitlezen 8)

thomasdebans · Bericht door **thomasdebans** » 14 okt 2003, 22:56

waarom vat dit toppic nu ineens zo dood??
was hier niemand anders in geinteresseerd..
of iz dit gewoon DE oplossing voor het probleem wat iedereen zocht ?