|
|
|
HackerNM
|
|
|
Enviado: 04/02/2006 a las 05:02 |
|
Frecuente
Karma: 0 (0 Votos)
Registrado: 28/12/04
Mensajes: 43
Estado: Desconectado
Ultima visita: 05/07/06 |
Version de PostNuke: 0.761
Version de Xuser: 0.30
Version de FormExpress: 0.3.3
Lei por aca no hace mucho, que habia gente que queria la validacion de e-mail en su registro, claro que esto no es posible con el sistema de registro del PostNuke, es por eso que la gente instalaba el Xuser. Yo en mi caso lo usaba en conjunto con el FormExpress para generar el formulario de registro. Pero esto traia un problema, los nuevos usuarios que se registraban, no tenian Grupo. Esto era porque el Xuser (o el FormExpress) no escribian en la tabla groups_membership y por lo tanto, no agregaban al usuario a ningun grupo, generando errores al tratar de visualisar la pagina web.
Se me ocurrio que si se ponia un campo oculto que agregara automaticamente el usuario a la tabla correspondiente, funcionaria, y asi fue.
Pero mi pregunta es: ¿Que tan inseguro es esto?¿Cualkiera podria intentar una inyeccion de SQL y crear un administrador? y el otro tema, cuando se envia el formulario de registro, muestra TODO el proseso de datos y el menu del Modulo Xuser, ¿Existe manerda de que al enviar el formulario correctamente se vuelva a la pagina principal?
Desde ya gracias, espero sus respuestas.
Saludos.
|
|
|
|
|
|
|
|
|
AnyKiller
|
|
|
Enviado: 04/02/2006 a las 10:02 |
|
Moderador
Karma: 7 (188 Votos)
Registrado: 12/10/04
Mensajes: 5145
Estado: Desconectado
Ultima visita: 11/06/08 |
¿Inseguro? Más bien ese usuario no podría acceder a nada
No atiendo mensajes privados para dudas |
|
|
|
|
|
|
HackerNM
|
|
|
Enviado: 05/02/2006 a las 22:02 |
|
Frecuente
Karma: 0 (0 Votos)
Registrado: 28/12/04
Mensajes: 43
Estado: Desconectado
Ultima visita: 05/07/06 |
Me gustaria una explicacion a esa respuesta si puede ser, la verdad es que creo que un usuario con nivel de administrador tendria el poder de hacer lo que kiera, al igual que mi.
Saludos.
|
|
|
|
|
|
|
AnyKiller
|
|
|
Enviado: 06/02/2006 a las 00:02 |
|
Moderador
Karma: 7 (188 Votos)
Registrado: 12/10/04
Mensajes: 5145
Estado: Desconectado
Ultima visita: 11/06/08 |
Un usuario en el grupo de administradores, si, pero un usuario sin grupo, no podría hacer nada
Solo tienes que comprobarlo creando tú mismo una nueva cuenta
No atiendo mensajes privados para dudas |
|
|
|
|
|
|
HackerNM
|
|
|
Enviado: 06/02/2006 a las 00:02 |
|
Frecuente
Karma: 0 (0 Votos)
Registrado: 28/12/04
Mensajes: 43
Estado: Desconectado
Ultima visita: 05/07/06 |
Ese era el error que se producia antes de que modificara el formulario y agregara los 2 campos ocultos. Con la pregunta: ¿Que tan Inseguro es esto? me referia al la posibilidad (o no) de una inyeccion SQL en el codigo PHP del formulario, creando asi un Nuevo Usuario en el grupo Administradores.
|
|
|
|
|
|
|
AnyKiller
|
|
|
Enviado: 06/02/2006 a las 00:02 |
|
Moderador
Karma: 7 (188 Votos)
Registrado: 12/10/04
Mensajes: 5145
Estado: Desconectado
Ultima visita: 11/06/08 |
Lo cierto es que no conozco esos módulos, así que quienes mejor podrían decirte son sus desarrolladores
No atiendo mensajes privados para dudas |
|
|
|
|
|
|
HackerNM
|
|
|
Enviado: 06/02/2006 a las 00:02 |
|
Frecuente
Karma: 0 (0 Votos)
Registrado: 28/12/04
Mensajes: 43
Estado: Desconectado
Ultima visita: 05/07/06 |
La verdad que si, pero me dirijo aca no buscando soporte sobre los modulos en si, si no sobre codigo PHP y el Modulo natal de Postnuke para crear nuevos usuarios. Mi pregunta es como el modulo NewUser si mal no recuerdo, agrega los datos a la tabla groups_membership.
Gracias una ves mas. Y una pregunta aparte, como es que con tantas posibilidades que ofrese el Postnuke no tenga un sistema de registro mas amplio.
Saludos.
|
|
|
|
|
|
|
Navegación
Xuser arreglado, pero ¿con problema de seguridad?
