Problem beim Rechte entnehmen über das UCP

Marcel2311 · 30. Januar 2014, 17:30

Guten Tag,
ich habe mir vor kurzem ein neues UCP gekauft.
Als erstes wird dort alle Admins aufgelistet und daneben kann man sie uninviten als Admin.
Dies will aber noch nicht so richtig funktionieren
//list_all_admins.php

PHP-Quellcode

<html>
<head>
<title>User Control Panel - Übersicht der Teammitglieder</title>
<link rel="stylesheet" href="stylesheet.css" type="text/css" />
<?php include("short_logout.php"); ?> <br /> <br /> <br />
</head>
<body>
<div id="standart_format">
<?php include("head.php"); ?> <br />
<?php include("navigation.php"); ?> <br />
<h2>Administration -> Übersicht der Teammitglieder </h2> <br />
<div id="standart_container">
<?php
$result = mysql_query("SELECT * FROM accounts ORDER BY Adminlevel DESC");
echo "<table align='center'>";
echo "<tr>";
echo "<td>   <b>Spielername</b>   </td>";
echo "<td>   <b>Teamrang</b>   </td>";
echo "<td>   <b>Supportpunkte</b>   </td>";
echo "</tr>";
while ($row = mysql_fetch_object($result))
{
if($row->Adminlevel != 0)
{
echo "<tr>";
echo "<td>   ",$row->Name,"   </td>";
echo "<td>   ";if($row->Adminlevel==1){echo "Probe Supporter";}else if($row->Adminlevel==2){echo "Supporter";}else if($row->Adminlevel==3){echo "Moderator";}else if($row->Adminlevel==4){echo "Administrator";}else if($row->Adminlevel==5){echo "Super Administrator";}else if($row->Adminlevel==7){echo "Server Manager";}else if($row->Adminlevel==8){echo "Projektleiter";}echo "   </td>";
echo "<td>   ",$row->Supportpunkte,"   </td>";
echo "<td>   <a href="action_uninvite_admin.php?action=uninviteUser&userName=".$row->Name.""><img src='images/uninvite-icon.png' title='Teammitglied entlassen'/>   </a></td>";
echo "</tr>";
}
}
mysql_free_result($result);
echo "</table>";
?>
</div>
<br /> <br />
<?php include("footer.php"); ?>
</div>
</body>
</html>

Alles anzeigen

//uninvite_admin.php

PHP-Quellcode

if(isset($_SESSION['username']))
{
$username = $_SESSION['username'];
$query = mysql_query("SELECT * FROM accounts WHERE Name = '$username'");
$value = mysql_fetch_array($query);
if(!$value['Adminlevel']>=1)
{
header('location: error.php?errorid=1');
}
else
{
$result = mysql_query("UPDATE `accounts` SET `Adminlevel`= '0' WHERE Name =".mysql_real_escape_string($_GET["userName"]).";");
}
}
else header('location: login.php');
?>
<html>
<head>
<title>User Control Panel - Teammitglied entlassen</title>
<link rel="stylesheet" href="stylesheet.css" type="text/css" />
<?php include("short_logout.php"); ?> <br /> <br /> <br />
</head>
<body>
<div id="standart_format">
<?php include("head.php"); ?> <br />
<?php include("navigation.php"); ?> <br />
<h2>Administration -> Übersicht der Teammitglieder -> Teammitglied entlassen </h2> <br />
<div class="alert alert-success">
Dem ausgewählten Spieler wurden erfolgreich die administrativen Rechte entzogen.
</div>
<br /> <br />
<?php include("footer.php"); ?>
</div>
</body>
</html>

Alles anzeigen

Dennis321 · 30. Januar 2014, 18:01

moin,
vor dem Kauf von etwas erstmal beachten, ob es auch funktioniert

Generell ist das ja net so dolle gemacht...

Schreib uns doch bitte erstmal, was da nicht funktioniert.

Und wofür ist dies? Von nem CMS oder so?

//EDIT: Aus dem Bereich "Tutorials" in den richtigen verschoben

Marcel2311 · 30. Januar 2014, 18:26

Also man kann nicht einen Admin uninviten also rausschmeißen das wird in der Mysql Datenbank nicht gesetzt.
@Dennis321:

[BlaZZeR]BirD · 30. Januar 2014, 19:22

1. Doppelposts sind verboten.
2. versuch mal

PHP-Quellcode

$result = mysql_query("UPDATE `accounts` SET `Adminlevel`= '0' WHERE Name =".mysql_real_escape_string($_GET["userName"]).";");
print_r($result);

Marcel2311 · 30. Januar 2014, 19:40

[BlaZZeR]BirD schrieb:

print_r($result);

Es wird in der Datenbank nichts gesetzt also normaler weise soll Adminlevel auf 0 gesetzt werden, dies passiert leider nicht.

[BlaZZeR]BirD · 30. Januar 2014, 19:47

Du sollst die ausgabe Printen und hier reinschreiben ist doch nicht so schwer?

Marcel2311 · 30. Januar 2014, 20:14

[BlaZZeR]BirD schrieb:

Du sollst die ausgabe Printen und hier reinschreiben ist doch nicht so schwer?

Bekomme aber irgendwie nichts angezeigt

Dennis321 · 30. Januar 2014, 20:15

PHP-Quellcode

$result = mysql_query("UPDATE `accounts` SET `Adminlevel`= 0 WHERE Name =".mysql_real_escape_string($_GET["userName"]));

$_GET["userName"] Ist da überhaupt ein Inhalt drinnen?

Mal als Beispiel:

PHP-Quellcode

<?php
if(isset($_GET['action']) && $_GET['action'] == 'madmin'){
if(isset($_GET['user']) && !empty($_GET['user'])){
mysql_query("UPDATE accounts SET Adminlevel=0 WHERE Name='".$_GET['user']."'")
OR DIE("MySQL Datenbankerror: ".mysql_error());
echo 'Du hast dem Benutzer <i>'.$_GET['user'].'</i> die Administrationsrechte entzogen.';
}else{
echo 'Kein Nutzer ausgewählt.';
}
}
$query = mysql_query("SELECT Name, Adminlevel FROM accounts WHERE Adminlevel=1 ORDER BY Name ASC")
OR DIE("MySQL Datenbankerror: ".mysql_error());
$rank = array('Kein Admin', 'Probe Supporter', 'Rank 2', 'Rank 3', 'Rank 4', 'Rank 5', 'Rank 6', 'Rank 7', 'Rank 8');
echo '
<table>
<tr>
<th>Nutzername</th>
<th>Administrationsrank</th>
<th>Aktionen</th>
</tr>
';
while($row = mysql_fetch_object($query){
echo '
<tr>
<td>'.$row->Name.'</td>
<td>'.$rank [$row->Adminlevel].'</td>
<td><a href="index.php?action=madmin&user='.$row->Name.'">Administratorrechte entfernen</a></td>
</tr>
';
}
echo '</table>';
?>

Alles anzeigen

Mal so als Beispiel, ist nun in 2 Minuten eben hier hingehauen und hoffe nirgens vertippt...
aber so würde das z.B. alles in einer Datei gehen (In dem Fall index.php).

Würde man noch nen kleines Login vor setzen und schon hat man die Sache.

Sry, dass ich anstatt den Fehler zu suchen nen Beispiel hier hinschreibe, aber habe gerade nicht sonderlich viel zeit ^^.

Gruß,
Dennis

Marcel2311 · 31. Januar 2014, 11:24

Vielen Dank Dennis ich habe denn fehler grade gefunden.
Es war das
$result = mysql_query("UPDATE `accounts` SET `Adminlevel`= 0 WHERE Name =".mysql_real_escape_string($_GET["userName"])."'");
dann habe ich folgendes geändert:
$result = mysql_query("UPDATE `accounts` SET `Adminlevel`= '0' WHERE Name ='".$_GET["userName"]."'");

Jetzt funktioniert es aber mach das jetzt bisschen Professioneller nach dem Tipp von Dennis

[BlaZZeR]BirD · 31. Januar 2014, 22:43

Das mit real_escape_string ist fast das selbe, und ist sicherer. Also würde ich lieber das verwenden. So kann dir ja jeder eine MySQL Injection reinballern.

Marcel2311 · 3. Februar 2014, 19:21

[BlaZZeR]BirD schrieb:

Das mit real_escape_string ist fast das selbe, und ist sicherer. Also würde ich lieber das verwenden. So kann dir ja jeder eine MySQL Injection reinballern.

Danke für diesen Tipp, ich habe es grade umgeändert. Es funktioniert nun alles Perfekt.

PHP-Quellcode

PHP-Quellcode

PHP-Quellcode

PHP-Quellcode

PHP-Quellcode

Teilen