Problem:
Diese User sollen vom Admin per Hand angelegt werden und erhalten danach eine Email mit den Zugangsdaten. Diese Zugangsdaten sollten nach dem Login für den User Editierbar bleiben (Passwort ändern, Avatar hochladen, usw.)


Wenn man alle User per Hand eingeben will, dann deaktiviert man das Modul "User_Registration" über die Moduladministration. Das "Your_Account" Modul muss man für alle Besucher aktivieren und freischalten, damit sich die User einloggen können.

Eine Alternative ist, das User_Registration Modul für alle Besucher zu aktivieren, aber die "Freischaltung durch Administrator" einzustellen. Dann können sich deine User selbst registrieren, der Admin entscheidet letztendlich, ob die Einfgabedaten, bzw. die neuen User akzeptiert werden. Das spart dem Admin einiges an Tipparbeit.

Hier etwas zu den Interna der Funktion:

Die Validierung der dem Script übergebenen Parameter geschieht im pragmaMx fünfstufig:

• scriptseitige Konfiguration des Servers in einen bestimmten Zustand, der die Gefahren hier bereits minimiert.
• Überprüfung auf verdächtige Strings und ggf. deren Entfernung bzw. Entschärfung wenn die Daten ankommen.
• Behandlung der übergebenen Parameter in ein genau definiertes Format, so dass die Daten in diesem Zustand bereits an die Datenbank geschickt werden könnten.
• Alle Module und Funktionen im pragmaMx validieren die Daten nochmals eigenständig auf Gültigkeit, bevor sie an die Datenbank oder direkt zur Anzeige gesendet werden. Das ist das sicherste und beste Verfahren, denn nur das Modul selbst kann wissen, welche Daten für das Modul selbst gültig und zulässig sind.
• Beim Zugriff auf die Datenbank über die entsprechenden Datenbankfunktionen werden die Daten nochmals auf verdächtige Strings überprüft und ggf. werden diese wieder entfernt oder entschärft. Die Daten könnten ja in der Zwischenzeit durch das Modul oder eine Systemfunktion verändert worden sein.

Der Punkt "Sql-Injection Gefahr verringern", oder auch mx-detection genannt, betrifft die Stufen 2 und 5. Ist diese Option eingeschaltet, kommt die Stufe 5 zum Tragen. Es werden, die dem Script übergebenen Parameter, wenn sie verdächtige Zeichenfolgen enthalten, nochmals mit den Daten verglichen, so wie sie an die Datenbank gesendet werden. Besteht hier eine Übereinstimmung, d.h. ein verdächtiger String befindet sich sowohl in den Übergabeparametern als auch in der Datenbankanfrage, so schlägt das System Alarm.
Es werden in der Grundeinstellung sämtliche Übergabeparameter, die komplette Datenbankanfrage, versch. Browser- sowie Userdaten, IP-Adressen usw. mitgeloggt und an den Administrator per mail gesendet. Natürlich wird auch verhindert, dass die entsprechenden Daten an die Datenbank gesendet werden.
Je nach Schwere des potentiellen Angriffs wird die zugehörige IP-Adresse im System gesperrt.

Der ganze Aufwand verbraucht einiges an wertvollen Systemressourcen und Rechnerzeit. Da, wie in Punk 4 zu sehen ist, das pragmaMx und dessen Module bereits keine Probleme mit sql_injections haben, wird diese Option eigentlich fast ausschliesslich für Fremdmodule, Themes oder Blöcke benötigt und kann eigentlich bei einer pragmaMx "Rein-Installation" abgeschaltet bleiben.

Apropos Adminpasswörter:
Durch die Sessionautentifizierung im pragmaMx kann man mit den MD5-verschlüsselten Passwörtern der User oder Admins so gut wie nichts anfangen. Die einzige Möglichkeit ist, per "brute-force" den md5-Haschwert zu knacken. Nicht unmöglich, aber unwahrscheinlich.

blank_Home kann als alternative Startseite genutzt werden.
Nicht jeder will die News (o.ä.) auf seiner Startseite nutzen. blank_Home stellt eine leere Fläche zur Verfügung und man kann die (leere) Startseite mit Mitteilungen und Centerblöcken verwenden.

Einschalten kann man es im Adminmenü unter Einstellungen:

Secure Logging einschalten?   Ja  Nein

Im Secure Log (wenn es denn aktiviert ist) werden z.B. Systemänderungen, Fehlanmeldungen, Änderungen von Admindaten u.s.w angezeigt.