السلام عليكم ورحمة الله وبركاته أغلب الشباب يعرفون الثغرة والتي من خلالها يستطيع بعض المتطفلين من إضافة ادمن له كامل الصلاحيات في لوحة التحكم
ولقد وجدت حل جميل بحيث لن يستطيه أحدهم أن يضيف نفسه بكامل الصلاحيات
وهي :-
افتج مجلد admin ثم modules ثم authors.php
ثم
case "AddAuthor":
واضف تحته مباشرة
بهذا نمنع الشخص من إضافة ادمن يملك الصلاحيات الكاملهكود PHP:if($add_radminsuper==1)
{
Header("Location: index.php");
exit;
}
----------------------------------------------------------------------------------
حماية أخرى :
نفس الملف نجد فيه الفنكشن
function displayadmins()
ويحتوي على فوروم إضافة المشرفين
نضيف فيه حقل جديد
ستجد
."<input type=\"hidden\" name=\"op\" value=\"AddAuthor\">"
ضيف فوقها مباشرة
حقل خفي
."<input name=\"addop\" type=\"hidden\" value=\"werwqerewrweqtttt\">"
لاحظ اسمه هنا
addop وقيمته werwqerewrweqtttt
ممكن تسوي له أي اسم مختلف
وتسوي له قيمة مختلفة كأنها باسورد
الخطوة الثانية نتجه إلى
الأمر
case "AddAuthor":
وتحته مباشرة نضيف
وهنا أيضا لن يستطيع إضافة أي مشرف عن طريق المتصفحكود PHP:if($addop!==werwqerewrweqtttt)
{
Header("Location: index.php");
exit;
}
بوضع روابط معينه ومن خلالها يضيف الادمن
كما تستطيع وضع الحماتين في نفس الوقت
أتمنى لكم التوفيق
أخوكم أبو محمد
