» Forum » Clanscript » Kritik und Verbesserungen » News sql Fehler auslösen behoben
  Mitglieder   |   Gallery   |   FAQ's   |   Regeln

[ Anmelden zum schreiben ]

News sql Fehler auslösen behoben
SFX
Mitglied
0 Beitragspunkte
Posts: 52

User Pic

0 Mitglieder finden den Beitrag gut.

Merkliste 11.05.2010 - 19:20:52     Zitieren
ich hab eben feststellen müssen dass es beim News Modul möglich ist einen SQL Fehler auszulösen..

Und zwar werden die Beiträge folgendermaßen geladen: 

$limit = $allgAr['Nlimit'];
$page = ( $menu->getA(1) == 'p' ? $menu->getE(1) : 1 );
$anfang = ($page - 1) * $limit;

// ich kürze hier mal etwas ab und spring direkt zum wichtigen SQL Teil:

LIMIT ".$anfang.",".$limit;


wenn ich jetzt index.php?news-p2 aufrufe:

Zitat
$limit = 5
$page = 2
$anfang = 5

LIMIT 5,5



Da ist alles in Ordnung

Wenn ich jetzt index.php?news-p0 aufrufe: 

$limit = 5
$page = 0
$anfang = -5

LIMIT -5,5


-> SQL Fehler

Das ganze ist einfach zu beheben:

in include/content/news.php diese Zeile suchen 

$page = ( $menu->getA(1) == 'p' ? $menu->getE(1) : 1 );


und dann ergänzen dass es so aussieht: 

$page = ( $menu->getA(1) == 'p' ? $menu->getE(1) : 1 );
$page = ( $page < 1 ? 1 : $page );


Wie kritisch diese Lücke ist lässt sich nicht so leicht einschätzen.. ^^

im Normalfall ist sie harmlos, muss aber trotzdem nicht unbedingt sein.. Zwinker

Wenn jemand noch fragen hat oder Hilfe beim selberkorrigieren brauch kann sich auch gerne über meine Homepage bei mir melden..

MfG
sfx

betroffene Homepage: devteam.ps-evolution.in

devteam.ps-evolution.in
Mairu
Coder
106 Beitragspunkte
Posts: 12615

User Pic

0 Mitglieder finden den Beitrag gut.

Merkliste 11.05.2010 - 23:25:28     Zitieren
Doch das ist ganz harmlos! Und es gibt sicher noch einige andere Stellen im Script, wo man so eine Fehlerausgabe erzeugen kann, allerdings sind das keine Sicherheitsrisikos.

Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite

[ Anmelden zum schreiben ]