Scar4U.de

[Puccini]

Hi,

ich musste soeben mit erschrecken feststellen, das du scheinbar die Fragen/Antworten nicht gegen SQL-Injektions absicherst!

Ich hab versucht eine Frage zu erstellen in der ich geschrieben habe:
"Zur erstellung von Wiki's würde ich beitragen"

Durch das ' wurder das SQL-Statement frühzeitig terminiert und es kam zu einem fehler!

Du solltest alle!!! user-angaben nochmal's wenigstens durch ein mysql_escape_string absichern, oder aber du benutzt prepared statements. Diese wäre noch sicher.

Bitte kontrollier das und aktuallisier das in der neuen Version(falls es sowas noch gibt). Ich pass jetzt meine Version darauf an, da ich nicht mit dieser Sicherheits-Lücke leben will.

Wenn dies auch bei den Kommentaren so ist, dann geht hier die Post ab
_________________
www.ragesoft.de

[Christian]

ich hab vor einiger zeit bereits diverse escape sequenzen im skript nachgepflegt, aber aufgrund des testaufwandes bisher nicht weiter zur verfügung gestellt.

die änderungen habe ich eben weitesgehend abgeschlossen und die geänderte version zur verfügung gestellt.

das problem ist aber in nur wenigen fällen kritisch, da die meisten php konfigurationen magic quotes aktiviert haben und dadurch automatisch dieses problem unterbinden.
_________________
BackTix.de - Textlink Marktplatz
Mit BackTix.de wird Ihnen ein guter Marktplatz für den Textlink Kauf und Backlink Verkauf zur Verfügung gestellt.