Zugang zu Admin-Funktionen

UB-Mannheim / MArs

MAnnheim reservation system (MArs) is a web application used for seat booking in Mannheim University Library.

GNU Affero General Public License v3.0

4 stars 6 forks source link

Zugang zu Admin-Funktionen #24

Closed exwima closed 4 years ago

exwima commented 4 years ago

Die Admin-Funktionen waren bei einer Testinstallation auch mit normaler Anmeldung zugänglich. $master war einfach bei jeder erfolgreichen Anmeldung "true". Vermutete Ursache: automatische Typkonversion beim Vergleich von Boolean mit String.

aus index.php:

// Should admin commands be allowed
$master = ($authorized && $authorized == 'master');

Korrekturvorschlag:
$master = ($authorized === 'master');

stweil commented 4 years ago

Thank you for the hint and for the right fix. Do you want to send a pull request which fixes the code?

The code works for us because our config.php does not return true, but one of false, "user" or "master".