Ein User wies mich gerade auf einen BUG bei mir hin.

Hier seine Nickpage:

http://www.knuddels-fever.de/vms/?content=/nickpage&id=3467

Er sagt man könne jeden html und php code dort einfügen.
Wodurch er meine DB z.b. zerstören könnte per Script etc. !

Nun meine Frage, ist das wirklich möglich?
Wie kann ich den BUG beheben?

File im Anhang !!

indem du einfach dort hinsetzt:
htmlspecialchars ();

bzw. es auf die homepage-adresse anwendest




*edit*
$nickpage = mysql_fetch_array(db_query("SELECT * FROM ".$db_prefix."_nickpage WHERE uid=".$id." LIMIT 1"));

da drunter fügst du mal folgendes ein:
foreach ($nickpage AS $name => $value) {
$nickpage[$name] = htmlspecialchars($value);
}

Kannst du die File bearbeiten und uppen?

So das er das in keinem Feld anwenden kann?

hab dir da oben mal nen code gepostet^^

So hat meiner Ansicht nach geklappt.

Nun hat er noch einen Account gemacht:

http://www.knuddels-fever.de/vms/index.php?content=/nickpage&id=3379

Er meint es geht noch immer. Angeblich.
Auch droht er mir gerade damit, das solange ers noch kann, er meine DB Crashen will.

Also ich habe mir gerade den Quelltext angesehen und dieses Addon sollte ganz schnell wieder ans Reizbrett, mit jeder Eingabe kann ich jeden Befehl an die Datenbank senden den ich will.

Es findet keine Prüfung des Querytag statt und dann kann man da ganz schnell mal probleme haben.

Wendet euch bitte an den Progger des Scriptes...

taja leider gibt es leute die bugs ausnutzen also lieber in die Tonne damit.