Anmelden
Mittwoch, 14. November 2007, 09:38
guestbook/viewgb.php
Orginal Post von Musel am 11.12.2004 - 18:46
Diskussion: http://archiv.kit-security.de/include.ph…hp&threadid=577
Es gibt ein bug im Gästebuch, welchen ihr fixen solltet....
Der bug bewirkt, das bei eingabe eines bestimmten namen, nicht mehr das GB anzeigen, sondern den quelltext.
Fix:
Öffne guestbook/viewgb.php ersetze
durch
Achja wenn du schon dabei bist; bzgl. Sicherheitslücken:
Ersetze (Zeile 18)
durch
Thx ² DJMars & Dooki 4 hint. *klap*
Diskussion: http://archiv.kit-security.de/include.ph…hp&threadid=577
Es gibt ein bug im Gästebuch, welchen ihr fixen solltet....
Der bug bewirkt, das bei eingabe eines bestimmten namen, nicht mehr das GB anzeigen, sondern den quelltext.
Fix:
Öffne guestbook/viewgb.php ersetze
|
PHP-Quelltext |
1 |
$gbook_autor=$gbookinfo['gbook_autor'];
|
durch
|
|
PHP-Quelltext |
1 |
$gbook_autor=htmlentities($gbookinfo['gbook_autor']);
|
Achja wenn du schon dabei bist; bzgl. Sicherheitslücken:
Ersetze (Zeile 18)
|
|
PHP-Quelltext |
1 |
if (intval($_REQUEST['gbid']>0)) $sqlcommand=" WHERE gbook_id='".$_REQUEST['gbid']."'";
|
durch
|
|
PHP-Quelltext |
1 |
if (intval($_REQUEST['gbid']>0)) $sqlcommand=" WHERE gbook_id='".addslashes($_REQUEST['gbid'])."'";
|
Thx ² DJMars & Dooki 4 hint. *klap*
