Archiv verlassen und diese Seite im Standarddesign anzeigen : Nickpage BUG
KiLLzOnE
21.12.2006, 22:54
Ein User wies mich gerade auf einen BUG bei mir hin.
Hier seine Nickpage:
http://www.knuddels-fever.de/vms/?content=/nickpage&id=3467
Er sagt man könne jeden html und php code dort einfügen.
Wodurch er meine DB z.b. zerstören könnte per Script etc. !
Nun meine Frage, ist das wirklich möglich?
Wie kann ich den BUG beheben?
File im Anhang !!
SebbyPHM
21.12.2006, 23:00
indem du einfach dort hinsetzt:
htmlspecialchars ();
bzw. es auf die homepage-adresse anwendest
*edit*
$nickpage = mysql_fetch_array(db_query("SELECT * FROM ".$db_prefix."_nickpage WHERE uid=".$id." LIMIT 1"));
da drunter fügst du mal folgendes ein:
foreach ($nickpage AS $name => $value) {
$nickpage[$name] = htmlspecialchars($value);
}
KiLLzOnE
21.12.2006, 23:02
Kannst du die File bearbeiten und uppen?
So das er das in keinem Feld anwenden kann?
SebbyPHM
21.12.2006, 23:06
hab dir da oben mal nen code gepostet^^
KiLLzOnE
21.12.2006, 23:23
So hat meiner Ansicht nach geklappt.
Nun hat er noch einen Account gemacht:
http://www.knuddels-fever.de/vms/index.php?content=/nickpage&id=3379
Er meint es geht noch immer. Angeblich.
Auch droht er mir gerade damit, das solange ers noch kann, er meine DB Crashen will.
Also ich habe mir gerade den Quelltext angesehen und dieses Addon sollte ganz schnell wieder ans Reizbrett, mit jeder Eingabe kann ich jeden Befehl an die Datenbank senden den ich will.
Es findet keine Prüfung des Querytag statt und dann kann man da ganz schnell mal probleme haben.
Wendet euch bitte an den Progger des Scriptes...
neoplacer
22.12.2006, 19:10
taja leider gibt es leute die bugs ausnutzen also lieber in die Tonne damit.
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.