Hallo, Gast! (Registrieren)

Letzte Ankündigung: MyBB 1.8.38 veröffentlicht (30.04.24)


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste
Attachments im BCP löschen verbieten
#11
Ist auf jeden Fall eine große Hilfe. Wir hatten jetzt den Fall, dass ein langjähriger User mit einem anderen ein Problem hatte und statt uns um Klärung zu bitten, neben der Anfrage um Löschung seines Accounts gleich alle seine Anhänge gelöscht hat :-( - über 300. Das soll uns nicht nochmal passieren, weder gewollt noch aus versehen ...
PHP Version         8.2.22    (Test: 8.2.22)
MySQLi Version   5.7.42    (Test: 8.0.36)
Mybb Version      1.8.38    (Test: 1.8.38)
(Stand 09/2024)

Grüße, André
Zitieren
#12
Freut mich, dass es dir weiterhilft.
Zitieren
#13
sehr nützliches Plugin SvePu!
Kein Support per PN, Mail, Telefon, Hausbesuch, Discord, Telegram, WhatsApp und anderen nutzlosen Tools
Zitieren
#14
Wichtige Anmerkung:

1) Sollte man lediglich die Schaltfläche und die Checkboxen aus den Templates entfernen, ist die Option zum Löschen zwar nicht mehr sichtbar, allerdings bleibt die technische Funktion erhalten.
Man kann weiterhin einen entsprechenden POST-Request absenden und die Dateien löschen, weil das Backend den Vorgang verarbeitet.

2) Das PlugIn von SvePu erzeugt einen zusätzlichen "Indikator" für die Erlaubnis zum massenhaften Löschen. Aber auch hier scheint die technische Möglichkeit zum Löschen tatsächlich bestehen zu bleiben.

Wenn man die Löschfunktion sicher deaktivieren möchte, muss man dies im PHP-Code ausschalten, z.B. folgende Funktion auskommentieren:
usercp.php / Zeile 4140 ff:
Code:
while($attachment = $db->fetch_array($query))
{
# remove_attachment($attachment['pid'], '', $attachment['aid']);
}

[ETS]
MyBB + innovative Themes:
NokiaPort.de Forum Nokia-Traditionsforum seit 2006.
Live Escape Game Forum Diskussionsplattform für Escape-Rooms.
Unlösbares Problem, Dilemma? -> das Nötel Smile
Zitieren
#15
(12.06.2024, 15:16)[ExiTuS] schrieb: Wichtige Anmerkung:
1) Sollte man lediglich die Schaltfläche und die Checkboxen aus den Templates entfernen, ist die Option zum Löschen zwar nicht mehr sichtbar, allerdings bleibt die technische Funktion erhalten.
Man kann weiterhin einen entsprechenden POST-Request absenden und die Dateien löschen, weil das Backend den Vorgang verarbeitet.
2) Das PlugIn von SvePu erzeugt einen zusätzlichen "Indikator" für die Erlaubnis zum massenhaften Löschen. Aber auch hier scheint die technische Möglichkeit zum Löschen tatsächlich bestehen zu bleiben.
......

Hast du das getestet?? Normalerweise sollte das durch das Plugin mit ausgeschlossen werden.

Wie schon geschrieben, ist das Plugin nicht komplett durchentwickelt ... kann also sein, dass nicht alle Eventualitäten dadurch abgedeckt sind.
Zitieren
#16
Nein, leider nicht nicht getestet. Ich habe nur en Code überflogen.
Oder wird der Löschvorgang mit deiner Funktion attachmentmassdeletecontrol_attachment_delete() abgefangen und wirft eine Fehlermeldung, bevor (Hook start) tatsächlich gelöscht wird!?
Dann muss ich revidieren.

Viel wichtiger ist Punkt 1)

[ETS]
MyBB + innovative Themes:
NokiaPort.de Forum Nokia-Traditionsforum seit 2006.
Live Escape Game Forum Diskussionsplattform für Escape-Rooms.
Unlösbares Problem, Dilemma? -> das Nötel Smile
Zitieren
#17
(12.06.2024, 15:59)[ExiTuS] schrieb: Nein, leider nicht nicht getestet. Ich habe nur en Code überflogen.
Oder wird der Löschvorgang mit deiner Funktion attachmentmassdeletecontrol_attachment_delete() abgefangen und wirft eine Fehlermeldung, bevor (Hook start) tatsächlich gelöscht wird!?
Dann muss ich revidieren.

Viel wichtiger ist Punkt 1)

[ETS]
Ja, das sollte das Löschen über die URL Direkteingabe unterbinden.
PHP-Code:
function attachmentmassdeletecontrol_attachment_delete()
{
    global 
$mybb;
    if (
$mybb->usergroup['canmassdeleteattachments'] != 1)
    {
        
error_no_permission();
    }
}
$plugins->add_hook('usercp_do_attachments_start''attachmentmassdeletecontrol_attachment_delete'); 

Welches Szenario meinst du genau bei Punkt 1?
Zitieren
#18
zu 1)
Selbst wenn die Templates bereinigt und die entsprechenden Elemente entfernt sind, kann man immer noch einen POST-Request mit allen nötigen Formular-Daten an den Webserver senden.
Das geht zum Beispiel, indem man mittels Entwicklertools des Browsers die entsprechenden input-Elemente wieder einbaut und das Formular absendet.
MyBB würde es weiterhin verarbeiten.
Daher besser die eigentliche Funktion im Code stilllegen.

[ETS]
MyBB + innovative Themes:
NokiaPort.de Forum Nokia-Traditionsforum seit 2006.
Live Escape Game Forum Diskussionsplattform für Escape-Rooms.
Unlösbares Problem, Dilemma? -> das Nötel Smile
Zitieren
#19
Die Ausführung ist ja quasi duch die hier gepostete Funktion still gelegt, wenn der ausführende User nicht zu einer Gruppe gehört, der das Löschen erlaubt ist.
Zitieren


Möglicherweise verwandte Themen…
Thema Verfasser Antworten Ansichten Letzter Beitrag
  Bilderhoster verbieten? skrilaxrev 2 1.070 24.06.2021, 07:42
Letzter Beitrag: skrilaxrev
  Benutzern verbieten seine Mailaddresse zu ändern Trasher2006 4 1.912 29.04.2017, 20:10
Letzter Beitrag: MrBrechreiz
  Post bearbeiten für Foren verbieten? baeckerman83 2 1.329 27.09.2015, 11:07
Letzter Beitrag: baeckerman83