Scar4U.de Foren-Übersicht Scar4U.de
Scar4u.de Support Forum
 
 FAQFAQ   SuchenSuchen   MitgliederlisteMitgliederliste   BenutzergruppenBenutzergruppen   RegistrierenRegistrieren 
 ProfilProfil   Einloggen, um private Nachrichten zu lesenEinloggen, um private Nachrichten zu lesen   LoginLogin 

Schweres Sicherheitsrisiko!!!!

 
Neues Thema eröffnen   Neue Antwort erstellen    Scar4U.de Foren-Übersicht -> ScarPoll
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
Puccini



Anmeldedatum: 06.10.2009
Beiträge: 11

BeitragVerfasst am: 11.11.2009, 16:18    Titel: Schweres Sicherheitsrisiko!!!!

Hi,

ich musste soeben mit erschrecken feststellen, das du scheinbar die Fragen/Antworten nicht gegen SQL-Injektions absicherst!

Ich hab versucht eine Frage zu erstellen in der ich geschrieben habe:
"Zur erstellung von Wiki's würde ich beitragen"

Durch das ' wurder das SQL-Statement frühzeitig terminiert und es kam zu einem fehler!

Du solltest alle!!! user-angaben nochmal's wenigstens durch ein mysql_escape_string absichern, oder aber du benutzt prepared statements. Diese wäre noch sicher.

Bitte kontrollier das und aktuallisier das in der neuen Version(falls es sowas noch gibt). Ich pass jetzt meine Version darauf an, da ich nicht mit dieser Sicherheits-Lücke leben will.

Wenn dies auch bei den Kommentaren so ist, dann geht hier die Post ab
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Christian
Scar4U


Anmeldedatum: 13.03.2006
Beiträge: 1018
Wohnort: Wiesbaden

BeitragVerfasst am: 12.11.2009, 21:09    Titel:

ich hab vor einiger zeit bereits diverse escape sequenzen im skript nachgepflegt, aber aufgrund des testaufwandes bisher nicht weiter zur verfügung gestellt.

die änderungen habe ich eben weitesgehend abgeschlossen und die geänderte version zur verfügung gestellt.

das problem ist aber in nur wenigen fällen kritisch, da die meisten php konfigurationen magic quotes aktiviert haben und dadurch automatisch dieses problem unterbinden.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
Beiträge der letzten Zeit anzeigen:   
Neues Thema eröffnen   Neue Antwort erstellen    Scar4U.de Foren-Übersicht -> ScarPoll Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehe zu:  
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.


Powered by phpBB © 2001, 2005 phpBB Group
Deutsche Übersetzung von phpBB.de
 
Scar4U.de | Impressum | BackTix - Textlink Marktplatz |