Forum

Bonjour.

Protéger le compte administrateur contre l'effacement.
On peut ajouter un code ?

Une personne peut supprimer le compte après s'être connecté.

De l'information serait utile.

Merci.

Édité par Visiteur Le 05/02/2013 à 14h24

Salut,

Dans ta base de données tu peux éditer le membre id 2 et lui mettre comme level 2.

Concernant la protection, à travers l'interface de gestion des membres, tu dois normalement ne pas pouvoir supprimer le dernier administrateur.

Tu as supprimé l'id 1 par quel biais ?

ReidLos

Salut PHPboost.

Je réitère aussi la demande.

Quand j'installe un script, ma première action dans le panneau de contrôle est d'effacer
le compte superadmin (Dieu, l'installateur) afin de savoir s'il est protégé
contre l'effacement. Il est logique que ce compte administrateur ne puisse s'effacer lui-même,
surtout s'il y a qu'un seul administrateur dans le site. Ça en dit long sur la sécurité du site.

Donc, s'il y a un code à ajouter, à modifier dans l'un des fichiers, ça serait bien de nous le partager.

Ça serait apprécié des utilisateurs et de moi-même.

Édité par dann Le 19/01/2015 à 06h16

Comme l'indique ReidLos, normalement via ladmin tu n'es pas capable de supprimé le dernier administrateur.

Après dès que tu touche en SQL, il n'y a plus de limite.

J'ai installé PHPboost 4.1.3, ça créé un compte admin, je suis allé dans le panneau d'administration à utilisateur et j'ai effacé mon propre compte. Après, si tu fermes ta session, t'es obligé de tout refaire l'installation si tu n'as pas fait de sauvegarde de ta base de données. Un bout de code qui protège le compte principal serait un atout. Imaginez s'il y avait du contenu dans le site.

Bonjour,

Je confirme, si on fait une édition du profil admin et que l’on coche la case supprimé le compte il le supprime sans soucis.

Tester sur la 4.1.3 en étant seul administrateur.

Édité par Venakiel Le 21/01/2015 à 06h33

Un bug a été remonté dans le bugtracker.

Bonjour,

de toute manière vu que dans PHPBoost y a pas de logs des actions d'administration on ne passe pas n'importe qui administrateur (un compte administrateur doit être donné au cas par cas).

Et si on a vraiment peur pour son site on rajoute un couple .htaccess/.htpasswd pour l'administration avec un couple login/pass différents pour chaque admins et différent de leur login habituel.

Oui c'est une solution un peu "overkill" mais j'ai déjà dû la mettre en pratique suite à un compte admin vérolé à cause de sa session laissé ouverte sur un ordinateur qui n'était pas à lui.

Cordialement, janus57