krass, das fällt mir erst jetzt auf!
das ist ja schon fast eine sicherheitslücke, da so user ja javascript einschleusen können, was bei jedem, der die seite aufruft, ausgeführt wird, sofern man eine wer ist online liste anzeigen lässt.
umgehen lässt sich das wie folgt:
datei: content/konto/userprofil.php
nach:
folgende zeile einfügen:PHP-Code:if (isset ($_POST['nickname'])) {
$nickname = mysql_real_escape_string(ucfirst($_POST['nickname']));
wobei ich sogar noch eine zeichenbegrenzung einfügen würde, ansonten kann ein nickname mit 200 zeichen schon etwas das design sprengen:PHP-Code:$nickname = strip_tags($nickname);
bei "15" einfach die maximale zeichenanzahl eintragenPHP-Code:$nickname = substr($nickname,0,15);
EDIT:
nur um allen die tragweite dieser möglichkeit zu zeigen, auf seiten, wo auch unngemeldeten usern listen mit usernamen, z.bsp die top 5 klicker oder so angezeigt werden, kann man damit seinen eigenen layer oder sogar eine umleitung auf eine andere website einbinden, sofern der eigene nick in dieser liste vorhanden ist. (funzt natürlich nur bei aktiviertem js)
Zitieren