[Проблема] Обход маркера безопасности

04-25-2014, 08:31 PM

Пишу модуль обновления строки БД, набросал небольшой код:

PHP Code:


			
if(isset($_POST['vban']) AND $vbulletin->bbuserinfo['userid'] == "1")
{
$ban_user = $db->query_write("UPDATE " . TABLE_PREFIX . "user SET usergroupid = '35' WHERE userid = $vbulletin->$post['userid']");
}

А в HTML form + input (name="vban").

При нажатии на кнопку появляется ошибка:

Quote:

Ваш запрос не может быть обработан, так как маркер безопасности отсутствует.

Как должен выглядеть код, чтобы исчезла эта ошибка?

04-25-2014, 08:55 PM

Code:

<input type="hidden" name="securitytoken" value="$bbuserinfo[securitytoken]" />

04-25-2014, 09:18 PM

Quote:

Originally Posted by kerk

Code:

<input type="hidden" name="securitytoken" value="$bbuserinfo[securitytoken]" />

Исправил на:

PHP Code:


			
<input type="hidden" name="securitytoken" value="{vb:raw bbuserinfo.securitytoken}" />

Ошибка исчезла. Группа не меняется.

04-25-2014, 09:43 PM

Quote:

Originally Posted by Liked

Группа не меняется.

а это что такое, можно поинтересоваться?
$vbulletin->$post['userid']
и вот это $vbulletin->bbuserinfo['userid']

04-25-2014, 09:53 PM

В коде статистики:

PHP Code:


			
$vbulletin->db->query_write(" UPDATE " . TABLE_PREFIX . "user SET showvsastats = '1' WHERE userid = " . $vbulletin->userinfo['userid'] . " ");

Соответственно, я брал оттуда.

Изменил код:

PHP Code:


			
if(isset($_POST['vban']) AND $vbulletin->$bbuserinfo['userid'] == "1")
{
$ban_user = $db->query_write("UPDATE " . TABLE_PREFIX . "user SET usergroupid = '35' WHERE userid = " . $vbulletin->$post['userid'] . " ");
}

Теперь пишет:

Quote:

Указано неправильное действие

04-25-2014, 09:57 PM

я собсно и спросил, что это
сравните $vbulletin->userinfo['userid'] и $vbulletin->$post['userid']

04-25-2014, 10:00 PM

Quote:

Originally Posted by kerk

я собсно и спросил, что это
сравните $vbulletin->userinfo['userid'] и $vbulletin->$post['userid']

Посмотрите выше моё сообщение,я подправил код.

Нет разницы, ставить $ или нет. Ошибка та же

Вроде, когда в одном месте есть $, а в другом нет, то ошибки нет и группа не меняется, а когда в обоих местах синтаксис одинаковый, то ошибка:

Quote:

Указано неправильное действие

04-25-2014, 10:21 PM

если вы не видите разницу, это не означает что ее нет
а разница таки есть
знак доллара перед строкой, это уже переменная
в данном контексте $vbulletin->$post['userid'] это вообще кривой код
т.к. $vbulletin это объект, а $post - массив, которого никогда не было в объекте $vbulletin
не нужно бездумно пихать все подряд в код по типу "авось прокатит", постарайтесь осмыслить то, что пишете (если пишете на пхп)

04-25-2014, 10:48 PM

Как-то так, м?

PHP Code:


			
if(isset($_POST['vban']) AND $vbulletin->$bbuserinfo['userid'] == "1")
{
$ban_user = $db->query_write("UPDATE " . TABLE_PREFIX . "user SET usergroupid = '35' WHERE userid = " . $postuser['userid'] . " ");

04-25-2014, 10:58 PM

Quote:

Originally Posted by UniversalUserIS

Как-то так, м?

PHP Code:


			
if(isset($_POST['vban']) AND $vbulletin->$bbuserinfo['userid'] == "1")
{
$ban_user = $db->query_write("UPDATE " . TABLE_PREFIX . "user SET usergroupid = '35' WHERE userid = " . $postuser['userid'] . " ");

Переменной $postuser не существует.