Suche

[soundworx]

Hi Jubilee!
Wenn man sich bei euch mit folgenden Userdaten registriert, wird ein SQL-Fehler ausgegeben. Offensichtlich werden die Commandozeilen nicht unterdrückt. Einem Kollegen von mir ist es möglich gewesen, Schabernack zu treiben. Im Gästebuch von einem bestimmten User konnte er z.B. Einträge mit anderen Usernamen vornehmen und auch das Datum des Eintrags bestimmen. Wie das ganze funktioniert, weiß ich nicht (er ist auch nicht sehr gesprächig *lol*), aber vielleicht gibts ja eine Lösung, um die SQL-Fehler zu unterdrücken. Hier mal die Fehlermeldung:

error in sql-statement: mysql_query, err-no: 1064
qry: select uname from nuke_users where uname=''test'
description: You have an error in your SQL syntax near 'test'' at line 1
error in sql-statement: mysql_num_rows, err-no: 1064
description: You have an error in your SQL syntax near 'test'' at line 1

Im Anmeldeformular gibt man ein:

Username: 'test'
Richtiger Name: 'test'

mfg
soundworx

PS: Er hat natürlich nix auf eurer Seite verändert,dafür aber auf meiner im Gästebuch : )


[Editiert am 30/6/2003 von soundworx]

[jubilee]

Noch mal schnell gefragt:
Wir sprechen über das
Gästebuch
oder über das
Usergästebuch
Das ist  nicht dasselbe.
MfG
jubilee