You are not logged in.

[WCF 1.1.x] userOptions editable, visible

ramius77

Member

  • "ramius77" started this thread

Posts: 27

  • Send private message

1

Thursday, June 28th 2012, 10:41am

userOptions editable, visible

Hallo

In der Dokumentation des WCF steht bei UserOptions:

<visible> Angabe einer Gruppen-ID einer Benutzergruppe, die diese Option standardmäßig sehen kann. Für andere Gruppen ist sie versteckt.
<editable> Angabe einer Gruppen-ID einer Benutzergruppe, die diese Option standardmäßig bearbeiten kann.

Im WCF gibt es beispielsweise die userOption "timezone" mit visible 4 und editable 0. Was hat das jetzt für Auswirkungen? Kann man auch eine userOption mit einem Plugin hinzufügen, welche weder vom Benutzer noch im ACP geändert werden kann? Eine kleine Übersicht, welche Einstellung zu welchem Ergebnis führt wäre hilfreich.

Für mich wäre wichtig zu wissen, ob der Benutzer bei einer Einstellung die er im Profil nicht sehen kann (durch beispielsweise visible == 4), aber trotzdem durch Manipulation der an den Server geschickten Daten, eine Änderung vornehmen kann.

Netzwerg

Member

  • "Netzwerg" is male

Posts: 5,552

Location: Ruhrpott

Occupation: Student

  • Send private message

2

Thursday, June 28th 2012, 11:43am

Quoted from "ramius77"

Für mich wäre wichtig zu wissen, ob der Benutzer bei einer Einstellung die er im Profil nicht sehen kann (durch beispielsweise visible == 4), aber trotzdem durch Manipulation der an den Server geschickten Daten, eine Änderung vornehmen kann.

Das WCF ist i.d.R. schlau genug, solche Dinge abzufangen und NICHT zu bearbeiten.
Best regards,
Sebastian Teumert

ramius77

Member

  • "ramius77" started this thread

Posts: 27

  • Send private message

3

Thursday, June 28th 2012, 2:53pm

In der Regel ist gut, eine Bestätigung wäre allerdings besser :whistling: vll schau ich mir den WCF Quellcode dazu mal an, wobei ich nicht weiß, ob mich das weiter bringt.

Netzwerg

Member

  • "Netzwerg" is male

Posts: 5,552

Location: Ruhrpott

Occupation: Student

  • Send private message

4

Thursday, June 28th 2012, 3:26pm

Quoted from "ramius77"

In der Regel ist gut, eine Bestätigung wäre allerdings besser :whistling:

Naja, dann:

Quoted

schau ich mir den WCF Quellcode dazu mal an
Best regards,
Sebastian Teumert

ramius77

Member

  • "ramius77" started this thread

Posts: 27

  • Send private message

5

Friday, June 29th 2012, 10:56am

Stütze mich erst mal auf folgende Erkenntnis: Die MessageForm des WCF liest extra die Post Daten zu den userOptions bezüglich des Wysiwyg Editor aus und speichert diese. Daher gehe ich davon aus, dass das WCF an dieser Stelle nichts selbstständig macht, sondern userOptions die auf editable=4 und visible=4 stehen tatsächlich nicht von außen, sondern nur vom PHP Script selbst bearbeitet werden können.
Wie gesagt: Falls jemand bezüglich userOptions bereits mehr Erfahrung hat bin ich sehr dankbar über eine Bestätigung / Klarstellung.

Alexander Ebert

WoltLab Developer

  • "Alexander Ebert" is male

Posts: 4,738

Location: Berlin

  • Send private message

6

Saturday, June 30th 2012, 2:17pm

Die Dokumentation zu editable und visible ist irreführend, denn es werden längst nicht mehr die Gruppen-IDs direkt verwendet, sondern nur die ursprüngliche Gruppen-ID die damit verknüpft war.
  • "1" und "2" erlauben die Bearbeitung durch den Benutzer
  • "3" erlaubt die Bearbeitung nur durch Administratoren
  • "4" verbietet die direkte Bearbeitung über Formulare (kann via PHP aber beliebig manipuliert werden)
Die Sichtbarkeit "visible" verhält sich identisch.

Ansonsten gilt: WCF validiert ausnahmslos alle Eingaben, wenn man Options zum Bearbeiten mitsendet, auf die man keinen Zugriff hat, werden diese schlicht ignoriert. Es ist nicht möglich, Optionen zu ändern auf die man keinen Zugriff hat.
Alexander Ebert
Developer WoltLab® GmbH

Similar threads