Hallo, ich kann mich irren, aber ist im Master Update 2.1.0.3 die XTC/OSC Sicherheitslücke in admin/whos_online.php wieder eingebaut oder täusche ich mich? Frage zur Sicherheit lieber nochmal nach. Gefixte version von 2.0.15.4 (etwa Z. 72): PHP: while ($whos_online = xtc_db_fetch_array($whos_online_query)) { $whos_online['last_page_url'] = htmlentities($whos_online['last_page_url']); $time_online = (time() - $whos_online['time_entry']); Neue whos_online wieder ohne htmlentities: PHP: while ($whos_online = xtc_db_fetch_array($whos_online_query)) { $time_online = (time() - $whos_online['time_entry']); Das Problem war, wenn ich mich recht entsinne, die Möglichkeit der SQL Injection durch eine ungefilterte last_page_url?
Hallo Lena, der Fix ist noch enthalten, nur ist er im Script an anderer Stelle verbaut (Zeile 102): PHP: <?php echo htmlentities_wrapper($whos_online['last_page_url']); ?>
Du hast uns ganz schön aufgescheucht... Keine 5 Minuten nach deinem Post waren schon 3 Leute von uns an der Gegenprüfung
Oops... Sorry. Habe extra schon den Titel noch nachträglich geändert, damit nicht das böse Wort im Forum steht und alle Angst bekommen...
Keine Bange, das war schon valide das zu fragen und richtig. Je eher wir um einen Mangel wissen wenn es denn einen gibt, desto besser, darum immer her damit wenn du oder wer anders da einen Verdacht hegt.