» Forum » Clanscript » Kritik und Verbesserungen » News sql Fehler auslösen behoben
  Mitglieder   |   Gallery   |   FAQ's   |   Regeln

[ Anmelden zum schreiben ]

News sql Fehler auslösen behoben
SFX
Mitglied
0 Beitragspunkte
Posts: 52

User Pic

0 Mitglieder finden den Beitrag gut.

11.05.2010 - 19:20:52     Zitieren

ich hab eben feststellen müssen dass es beim News Modul möglich ist einen SQL Fehler auszulösen..

Und zwar werden die Beiträge folgendermaßen geladen:

Code: Zeilennummern entfernen
  1. $limit = $allgAr['Nlimit'];
  2. $page = ( $menu->getA(1) == 'p' ? $menu->getE(1) : 1 );
  3. $anfang = ($page - 1) * $limit;
  4.  
  5. // ich kürze hier mal etwas ab und spring direkt zum wichtigen SQL Teil:
  6.  
  7. LIMIT ".$anfang.",".$limit;


wenn ich jetzt index.php?news-p2 aufrufe:

Zitat
$limit = 5
$page = 2
$anfang = 5

LIMIT 5,5


Da ist alles in Ordnung

Wenn ich jetzt index.php?news-p0 aufrufe:

Code: Zeilennummern entfernen
  1. $limit = 5
  2. $page = 0
  3. $anfang = -5
  4.  
  5. LIMIT -5,5


-> SQL Fehler

Das ganze ist einfach zu beheben:

in include/content/news.php diese Zeile suchen

Code: Zeilennummern entfernen
  1. $page = ( $menu->getA(1) == 'p' ? $menu->getE(1) : 1 );


und dann ergänzen dass es so aussieht:

Code: Zeilennummern entfernen
  1. $page = ( $menu->getA(1) == 'p' ? $menu->getE(1) : 1 );
  2. $page = ( $page < 1 ? 1 : $page );


Wie kritisch diese Lücke ist lässt sich nicht so leicht einschätzen.. ^^

im Normalfall ist sie harmlos, muss aber trotzdem nicht unbedingt sein.. Zwinker

Wenn jemand noch fragen hat oder Hilfe beim selberkorrigieren brauch kann sich auch gerne über meine Homepage bei mir melden..

MfG
sfx

betroffene Homepage: devteam.ps-evolution.in
devteam.ps-evolution.in
Mairu
Coder
9 Beitragspunkte
Posts: 11969

User Pic

0 Mitglieder finden den Beitrag gut.

11.05.2010 - 23:25:28     Zitieren

Doch das ist ganz harmlos! Und es gibt sicher noch einige andere Stellen im Script, wo man so eine Fehlerausgabe erzeugen kann, allerdings sind das keine Sicherheitsrisikos.
Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite

[ Anmelden zum schreiben ]