Пользователь с Е-мейлом вместо имени

[RedScorp 0]

Доброго времени суток.

Извините если повторяю чей-то вопрос, но...

К сожалению, еще не успел перейти на версию 7.2. Однако сегодня заметил в комментариях пользователя "evgens", при нажатии на которого создавалось письмо на адрес "mailto:evgens@mail.ru", вместо привычного "меню пользователя". Комментарий был естественно с рекламой какого-то сайта. При попытке отыскать пользователя в админке результат - ничего не найдено, по любым критериям. Мало того, полез в базу посмотреть, пользователей у меня не так много, отсортировал поля, пробовал искать по критериям - все равно в базе пользователей нет такого!!! Единственное что я не сделал, до того как удалить коммент, это не посмотрел в базе идентификатор юзера (о чем сожелею). Вот и возник вопрос, как перс оставил сообщение?! У меня для того чтобы оставить сообщение надо зарегиться! Причем потом подтвердить регистрацию по ссылке присланной на мыло. Да и почтовик на данный адрес не отправлял письма!

PS. Сайт щас приостановил, занимаюсь переводом на 7.2.

[empirator 0]

RedScorp,

дык у вас комменты гостям наверное можно постить! Вот он и запостил, естественно, его в базе нет, баньте по ипу.

[RedScorp 0]

RedScorp, дык у вас комменты гостям наверное можно постить!

Вот еще разрешать такую роскошь. У нас сайт, как бы это сказать, не для банального флуда. Хочешь что-то сказать зарегься - скажи.

У меня для того чтобы оставить сообщение надо зарегиться!

А уж чтобы написать статью и подавно нуно разрешение админа или слово главного редактора.

[celsoft 6 072]

если пользователь был удален, то его комментарий останется.

[RedScorp 0]

В этом то и дело, что пользователя не было, был тока комментарий, не мог же пользователь сам себя удалить. Плюс ко всему в логах почтовика на сервере нет отправки сообщения на это мыло. Как в прочем и в апаче запросов на подтверждение регистрации за последние пару дней. Блин, я очень жалею что удалил комментарий. Но факт остается - при всех запретах, при отсутствии пользователя как такового - был оставлен комментарий. Больше всего удивило что при нажатии на имя выходило системное виндовое окно написать письмо, вместо меню DLE управления пользователем и комментарием.

[celsoft 6 072]

RedScorp,

Вы один администратор на сервере? Может быть не вы его удалили? Дата когда написан комментарий? Стоит ли в настройках автоматическое удаление пользователей, которые не посещали сайт определенное время.?

[RedScorp 0]

Да я администратор и на сайте и на сервере.

Есть еще парочка главных редакторов. Ни кто из них ничего не делал.

Комментарий был написан сегодня приблизительно в 12 с копейками.

В настройках не стоит автоматическое удаление пользователей!

Я всегда слежу за новыми пользователями, пару раз в неделю проверяю кто регился. Контролирую комментарии (тоже самое делают и гл.редакторы) при каждом открытии сайта (у нас добавлены последние комментарии в отдельный информационный столбец, его видно всегда). У нас следят за цензурой, за рекламой, за флудом, за спамом... В общем стараемся чтобы этого "добра" было как можно меньше.

Ребят, т.е. с подобным еще не сталкивались?! Вопрос поставим по другому, есть ли возможность при получении доступа к базе данных, прописать скажем просто комментарий к новости на прямую?!

[celsoft 6 072]

Вопрос поставим по другому, есть ли возможность при получении доступа к базе данных, прописать скажем просто комментарий к новости на прямую?!

Конечно, если есть доступ к БД напрямую, то можно делать вообще что угодно

[RedScorp 0]

На всякий пожарный сменил пароли для пользователя на базу данных. Посмотрим будут ли еще такие "фокусы".

[RedScorp 0]

А без разницы. Обновил версию движка и все равно. Вот новый зверь в комментах в новости - ourfriends.info

#1 написал: alexanfer (Сегодня, 11:18)

Зарегистрирован: -- | ICQ: -- | IP: 77.222.114.81 | Поблагодарили (раз): 0

Группа: Гости

Публикаций: 0

Комментариев: 0

Ачуметь! nawar нуб

Отличная новость, купить Гербалайф

Вот запись из таблицы dle_comments

id	 post_id   user_id	  date				   autor		  email

1346   793		0		   2008-08-29 11:18:05	alexanfer	alexanfer@mail.ru


text													   ip			  is_register	  approve

Ачуметь! <a href="http://world-of-gta.ru" target="...  77.222.114.81	0				 1

В таблице dle_users такого пользователя нет.

Изменено 29 августа 2008 пользователем RedScorp

[celsoft 6 072]

У меня такое ощущение что в настройках группы для гостей у вас разрешено добавление комментариев.

[empirator 0]

У меня такое ощущение что в настройках группы для гостей у вас разрешено добавление комментариев.

Именно! Только что зашел на сайт и запостил коммент без регистрации.

[RedScorp 0]

У меня такое ощущение что в настройках группы для гостей у вас разр/бавление комментариев.

Именно! Только что зашел на сайт и запостил коммент без регистрации.

Вижу. Ниче не понимаю. Давайте по порядку.

Настройки комментариев

Разрешить комментировать новости - ДА

Использовать поле e-mail как URL - НЕТ

Максимальное количество символов в комментариях - 3000

Количество комментариев на страницу - 30

Порядок сортировки комментариев - По возрастанию

Защита от флуда - 30

Автоматическая разбивка длинных слов - 40

Формат времени для комментариев - j F Y H:i

Отсылать E-Mail уведомление при добавлении комментариев - ДА

Включить WYSIWYG редактор для комментариев и персональных сообщений - НЕТ

Оптимизация запросов к базе данных

Включить поддержку регистрации и авторизации на сайте - ДА

Включить поддержку предмодерации комментариев - НЕТ

Настройки пользователей

Регистрировать новых пользователей в группе - Пользователи

В самой группе Гостей

Разрешить добавление комментариев - НЕТ

Разрешить использование подписи в комментариях - ДА

Разрешить использование кликабельных ссылок - ДА

Разрешить использование изображений - НЕТ

Отправлять комментарии на модерацию - НЕТ

Изменение своих комментариев - НЕТ

Удаление своих комментариев - НЕТ

Код безопасности - ДА

Изменение всех комментариев - НЕТ

Удаление всех комментариев - НЕТ

Больше ничего не нашел... Но ведь главное что комменты запрещены "Разрешить добавление комментариев - НЕТ"

Хмм, заметил еще кое что. Если прокликать радио кнопки "ДА - НЕТ" туда обратно - то именно в группе Гостей не все значения можно будет вернуть назад. К примеру, "Разрешить использование подписи в комментариях" можно поставить лишь "НЕТ", а у меня почему-то изначально было "ДА".

Изменено 29 августа 2008 пользователем RedScorp

[celsoft 6 072]

Давайте доступ по FTP и к админпанели, мне будет проще все самому уже на вашем сервере проверить.

[celsoft 6 072]

А теперь смотрим: из вашего сообщения видно:

post_id: 793 теперь заходим под гостем в новость где у вас опубликовали комментарий: http://ourfriends.info/soft/793-all-my-movies-4.7.1251.html

И что мы видим? А видим мы приглашение для гостей написать комментарий

Заходим в админпанель в редактирование этой новости и открываем вкладку "Доступ", и видим что для этой новости для группы гостей вы разрешили просмотр и комментирование, для других новостей нет, а для этой да.

Также возможно есть разрешение и в других новостях. Так что безопасность скрипта тут совсем не причем.

[RedScorp 0]

Заходим в админпанель в редактирование этой новости и открываем вкладку "Доступ", и видим что для этой новости для группы гостей вы разрешили просмотр и комментирование, для других новостей нет, а для этой да.

Честно говоря никогда не заходил в новость и не менял там политику, спецально настройки тока в группах делал, чтобы на новость ничего "не вешать". Придеться провести разъяснительные работы с гл.редаторами (по крайней мере один из них выложил тот пост).

Также возможно есть разрешение и в других новостях. Так что безопасность скрипта тут совсем не причем.

Прощу прощения за потерянное Вами время. Данную ветку можно смело удалить...

[Clarik54 0]

Если есть доступ к БД,то можно делать всё что хочеш!!!

_________________

Работа - серебро оптом, Хобби - автомобили.