ilch Forum » Ilch Clan 1.1 » Fehlersuche und Probleme » rules.php unsicher

Geschlossen
  1. So. 07.03.2010 13:14 Uhr #1
    User Pic
    legalsauger Mitglied
    Registriert seit
    14.08.2009
    Beiträge
    492
    Beitragswertungen
    43 Beitragspunkte
    Hallo,
    in der Datei include/admin/rules.php wird in Zeile 40 eine GET-Variable ungefiltert an die Datenbank übergeben. 

    [...]
} else {
	$abf = 'SELECT text,zahl,titel,id as sid FROM `prefix_rules` WHERE id = "'.$_GET['sid'].'"';
	$erg = db_query($abf);
	$row = db_fetch_assoc($erg);
	$row['sub'] = 'Ändern';
}
[...]


    Ist mir beim erstellen von meinem Changelog-Modul aufgefallen.
    Gruß

    EDIT:
    Ich poste den Fix am besten direkt mit: 

    [...]
} else {
$sid = escape($_GET['sid'], 'integer');
	$abf = 'SELECT text,zahl,titel,id as sid FROM `prefix_rules` WHERE id = "'.$sid.'"';
	$erg = db_query($abf);
	$row = db_fetch_assoc($erg);
	$row['sub'] = 'Ändern';
}
[...]



    verwendete ilchClan Version: 1.1 N


    Zuletzt modifiziert von legalsauger am 07.03.2010 - 13:28:12
    0 Mitglieder finden den Beitrag gut.
  2. So. 07.03.2010 13:46 Uhr #2
    User Pic
    Mairu Coder
    Registriert seit
    16.06.2006
    Beiträge
    15.334
    Beitragswertungen
    386 Beitragspunkte
    Ich habs zwar auch schon übernommen gehabt, aber nur damit jetzt hier keine Hysterie ausbricht, man muss Adminrechte haben, um diese Lücke ausnutzen zu können, und wenn man die hat, dann sollte man ja eh alles machen dürfen.
    Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite
    0 Mitglieder finden den Beitrag gut.
Geschlossen

Zurück zu Fehlersuche und Probleme

Optionen: Bei einer Antwort zu diesem Thema eine eMail erhalten