Мод Visual Warning на самом деле не защищает от операций над админом

[Jerry]

Поставил я Visual Warning Mod (мод для модераторов, предупреждения и наказания), гляжу:
Мод внешне защищает от посягательств на админа - пишет ошибку при попытке заткнуть админа или скрыть пост админа и не генерирует страницу операций над админом.
Но достаточно просто сохранить страницу операции над любым другим пользователем, а затем сохранить страницу и подправить hidden поля в html страници или любым другим способом подправить отправку POST методом, и операция будет успешна произведена.
Никаких проверок в AddWarning2(), "защита" защищает только на вид, полностью доверяя данным в POST.
Обязательно добавьте в VisualWarning11.php после

Код Выделить Развернуть

$_REQUEST['timelast'] = isset($_REQUEST['timelast']) ? (int) $_REQUEST['timelast'] : 0;
это:

Код Выделить Развернуть

if (!isset($_REQUEST['user'])==1) fatal_error("haha");
или что-нибудь подобное.
//Например, для проверки админской группы юзера - запрос и проверка ID_GROUP с additionalGroups по аналогии с тем, что в AddWarning()

[manxhoom]

спасибо

[Jerry]

У меня в теме опечатка (я просто просматривал все свои темы):
Не

Код Выделить Развернуть

if (!isset($_REQUEST['user'])==1) fatal_error("haha");, а

Код Выделить Развернуть

if ($_REQUEST['user']==1) fatal_error("haha");
Я просто не печатал целиком, а скопировал кусок и подправил конец, забыв про начало.
Хотя с SMF2 этот мод уже не актуален...