Thema: PonyGallery Benutzerrechte-Bug

Hallo,

ich habe dieses Problem zwar schon mal in einem anderen Thema gepostet, da allerdings ohne direkten Zusammenhang zum Originalthema. Deswegen jetzt ein eigenes Thema:

es gibt in der aktuellen Version 1.1.2 der PonyGallery eine kleine Sicherheitslücke bzw. einen Fehler bei der Behandlung der Benutzerrechte:
hat man einzelne Kategorien explizit nur für registrierte [RM] oder spezielle [SM] Mitglieder zur Ansicht freigegeben (über das Adminmenu), so können auch nur diese auf "ihre" Kategorien zugreifen.
Klickt ein User - ob angemeldet oder nicht - jedoch auf einen der Einträge der Toplist (most viewed etc.), so werden ihm alle Thumbnails - also auch die aus geschützten Verzeichnissen - angezeigt.
Hast sich vielleicht schon mal jemand mit diesem Problem befasst und eine Lösung gefunden?
Die entsprechende Toplist müsste z.B. jeweils nur die Thumbnails aus den Kategorien anzeigen, für die der User auch die Berechtigungen hat. Wer weiss da Rat?
Bin für jeden Tip dankbar!

mab

Hi octane,

habe die Lösung für den Benutzerrechte-Bug gefunden.
In der viewspecial.php mus man den Code in Zeile 35 bis 79 folgendermaßen ersetzen:

PHP-Code:

    switch ( $sorting)    
        {
        case 'find':
            $suchstring=trim( strtolower( $sstring ) );

            $query1="SELECT * FROM #__ponygallery As a, #__ponygallery_catg AS ca WHERE a.catid=ca.cid AND a.imgtitle LIKE '%$suchstring%' AND a.published = 1 "
                        . " AND a.approved=1 " . " AND ca.access<=$gid" . "\nORDER BY id DESC";

            $tl_title=_PONYGALLERY_PRREZ." $sstring";

            break;

        case 'lastcomment':
            $query1
                ="SELECT a.*, cc.cmtid FROM #__ponygallery AS a, #__ponygallery_comments AS cc, #__ponygallery_catg AS ca WHERE a.id=cc.cmtpic AND a.catid=ca.cid AND a.published = '1' " . " AND a.approved=1 " . " AND ca.access<=$gid"
                     . "\nORDER BY cc.cmtid DESC LIMIT $ag_toplist";

            $tl_title=_PONYGALLERY_TOP." $ag_toplist "._PONYGALLERY_LAST_COMMENT_PIC;

            break;

        case 'lastadd':                
            $query1="SELECT * FROM #__ponygallery As a, #__ponygallery_catg AS ca WHERE a.catid=ca.cid AND a.published ='1' " . " AND a.approved='1' " . " AND ca.access<=$gid "
                        . "\nORDER BY a.id DESC LIMIT $ag_toplist";
                        
           $tl_title=_PONYGALLERY_TOP." $ag_toplist "._PONYGALLERY_LAST_ADDED_PIC;

            break;

        case 'rating':
            $query1="SELECT *,ROUND(imgvotesum/imgvotes, 2) as rating FROM #__ponygallery_comments AS cc, #__ponygallery AS a, #__ponygallery_catg AS ca WHERE a.id=cc.cmtpic AND a.catid=ca.cid AND a.published = '1' "
                        . " AND a.approved=1 " . " AND ca.access<=$gid " . "\nORDER BY rating DESC LIMIT $ag_toplist";

            $tl_title=_PONYGALLERY_TOP." $ag_toplist "._PONYGALLERY_BEST_RATED_PIC;

            break;

        default:
            $query1="SELECT * FROM #__ponygallery AS a, #__ponygallery_catg AS ca WHERE a.catid=ca.cid AND a.published = '1' " . "\n AND a.approved=1 " . " AND ca.access<=$gid"
                        . "\nORDER BY imgcounter DESC LIMIT $ag_toplist";

            $tl_title=_PONYGALLERY_TOP." $ag_toplist "._PONYGALLERY_MOST_VIEWED_PIC;

            break;
        } 


Danach funktioniert sowohl die Suche (bislang mehr oder weniger tot) als auch die Ausgabe der Bilder entsprechend den Rechten der User. Das heißt, dass fortan der Benutzer nur noch die Bilder zu sehen bekommt, für die er auch die notwendigen Rechte innehat, wenn er auf einen der Links (Meist gelesen etc.) klickt.

Die neue Version findest Du demnächst unter
http://www.joomlaportal.de/joomla-ko...ug-frei-2.html
oder unter
http://www.joomlaportal.de/joomla-ko...ilanguage.html

Die Suchfunktion kann man auch selbst abändern. Nach meinen Einstellungen bezieht sich die Suche auf den Bild-Titel. Man kann aber auch im Beschreibungstext suchen lassen. Dafür muss man lediglich die Zeile 40 der viewspecial.php editieren:

PHP-Code:

 $query1="SELECT * FROM #__ponygallery As a, #__ponygallery_catg AS ca WHERE a.catid=ca.cid AND a.imgtitle LIKE '%$suchstring%' AND a.published = 1 " 


Hier ist a.imgtitel durch die Spaltenbezeichnung zu ersetzen, nach der die Suche erfolgen soll, also z. B. a.imgtext

Gruss

mab

Wenn ich eine Kategorie nur freigebe für spezielle Mitglieder, kann die auch unsichtbar gemacht werden ( dass sie nicht angeziegt wird).
Bei mir steht dann immer [SM] dahinter!

PS: Habe die ganze Zeit mit Zoom Galerie gearbeitet und dort konnte man Rechte pro User festlegen.Leider hat diese aber soviel andere Bugs :-(
Diese Funktion der Rechte fehlt irgendwie in der Pony Gallerie, sonst wäre sie perfekt!

Schöne Grüße

Ich habe ja die neue ML Version. Nur wenn ich mit JACL neue Gruppen anlege , können die unterschiedlichen Gruppen trotzdem immer alles sehen bzw. reingehen. Habe 3-5 Fünf Gruppen ( bzw. User) die jeweils unterschiedliche Kategorien sehen dürfen. Ist das Möglich mit der Gallerie ??

z.B Gruppen "EBT"; Gruppe "XY" , Gruppe "ZX", dann gibt es für jede Gruppe eine Galleriekategorie. So wäre die Gallerie in meinen Augen die beste. Bei Zoom kann man die User ja gut bestimmen und ohne Gruppen arbeiten.

Schöen Grüße