Ergebnis 1 bis 3 von 3

Thema: Injektion möglich

Hybrid-Darstellung

Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
  1. #1
    Erfahrener Benutzer Avatar von muenchner1989
    Registriert seit
    11.10.2006
    Beiträge
    335

    Injektion möglich

    Hallo User,

    mir ist heute im ShopAddon von neue-Lose.de aufgefallen, das es möglich ist eine einfache SQL Injektion mittels ' zu machen wenn ich diese im Link anhänge.
    Nun habe ich mir das Script etwas angeschaut und mit addslashes abgesichert

    z.B
    <?if ($action==info){?>

    Action ist am Anfang des Script defeniert.
    Das Problem ist aber das ich immernoch ein Fehler habe aber ihn nicht "sichern kann".

    Meldung ist:
    Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /var/www/web272/html/content/shop/products.php on line 11
    Und Zeile 11 ist: <?if (!mysql_num_rows($sql)){

    Wie kann man das absichern oder hat jemand ein anderes Shopscript da dies das einzigste ist was ich für das VMS kenne!
    Kauf dirn Keks! Und beiß dir Runde Ecken!

  2. #2
    Administrator Avatar von Lokutos
    Registriert seit
    29.03.2008
    Beiträge
    3.147
    wie hört den zwile 10 auf ??
    poste doch mal paar zeilen mehr (den query)

    in der zeile ist alles richtig und absichern kann man da wol nix was den auch ?
    SwissNetWorX - VMS Hosting / V-Server / Cloud-Server / Hosting

  3. #3
    Erfahrener Benutzer Avatar von muenchner1989
    Registriert seit
    11.10.2006
    Beiträge
    335
    Hi,

    das ist der Absatz

    Code:
    <?
    $sql = db_query("SELECT id,bezeichnung,preis FROM ".$db_prefix."_shop_produkte WHERE aktiv='1' && kategorie = '".$_GET['kat']."' ORDER by id DESC");
    ?>
    <?if (!mysql_num_rows($sql)){
    head('Info');
    echo 'Keine Produkte in dieser Kategorie';
    foot();
    }else{
    ?>
    Hab den Fehler. kat ist ne Zahl also ein intval nu ist der bug weg.
    Kauf dirn Keks! Und beiß dir Runde Ecken!

Ähnliche Themen

  1. anmeldung nciht möglich
    Von mastersefa im Forum [HD] Programmieren
    Antworten: 4
    Letzter Beitrag: 12.01.2010, 19:14
  2. Wechsel von VMS 1.1 auf VMS 1.2 möglich?
    Von Nina-BTC im Forum Support zum VMSone
    Antworten: 2
    Letzter Beitrag: 21.01.2009, 16:20
  3. Kopieren möglich?
    Von sebi-home im Forum Support zum VMSone
    Antworten: 4
    Letzter Beitrag: 24.05.2008, 02:53
  4. Einloggen nicht Möglich
    Von 16ochse16 im Forum [HD] Programmieren
    Antworten: 1
    Letzter Beitrag: 15.12.2007, 22:16
  5. bug und sql injektion
    Von dude32 im Forum Bug-Report
    Antworten: 3
    Letzter Beitrag: 11.03.2007, 22:02

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •