Stg pn center

**Lokutos** · 06.12.2014, 00:19

Ich hoffe

PHP-Code:


$_POST['Eintrag']

wird abgesichert... (zuvor) ansonnsten ist das ne ziemlich böse SQLInjection lücke

**Alpha10** · 09.12.2014, 17:32

*Hüstel* Ja die Lücke lässt sich nutzen, da freut man sich das die umlaute gehen und dann geht das wieder nicht... *rofl*
Gibt es noch Alternativen zum absichern, aber so das auch die Umlaute dargestellt werden? Ich weiss n icht warum die "Ä-Striche" als slashes erkannt werden sowohl als einfacher als auch doppelter, hab schon alles probiert.

Ich poste mal die module.php - vieleicht kann Sie doch noch jemand anpassen, das die Umlaute funktionieren UND die Eingaben abgesichert sind.

PHP-Code:


<head>
<style type="text/css">
.smileys {
width:480px;
}
</style>
<script language="JavaScript">
  function addValue(text) 
  {
    document.Shoutbox.Eintrag.value = document.Shoutbox.Eintrag.value + text;
  }
</script>
</head>

<? head ('Chatbox - 10000 Klammlose alle 15min + Jackpot'); ?>

<?php
include 'module/Shoutbox/files/inc/functions.inc.php';

if(get_magic_quotes_gpc()) {
        array_stripslashes($_GET);
        array_stripslashes($_POST);
        array_stripslashes($_COOKIE);
}

$uid_finden = db_query("Select * FROM ".$db_prefix."_userdaten where uid = ".$_SESSION['uid'].""); // UID in der Datenbank finden
$nick = @mysql_fetch_array($uid_finden); // Zugehörigen Nicknamen aufrufen
$admin_auslesen = db_query("Select * FROM ".$db_prefix."_shoutbox_admin");

$style_auslesen = db_query("Select * FROM ".$db_prefix."_shoutbox_style");

$smileys_auslesen = db_query("Select * FROM ".$db_prefix."_shoutbox_smileys");

$admin = mysql_fetch_assoc ($admin_auslesen);

$style = mysql_fetch_assoc ($style_auslesen);

if ($_GET['Eintraege'] != "alt")
{

echo '<center><b>Kein Support in der SB - Bitte PN an Alpha10 senden!</b>', ('
<iframe src="module/Shoutbox/ausgabe.php" height="'.$style['iframe_height'].'" width="'.$style['iframe_width'].'" scrolling="'.$style['iframe_scrolling'].'" frameborder="'.$style['iframe_frameborder'].'"></iframe>');

} else {

echo ('<iframe src="module/Shoutbox/ausgabe.php?Eintraege=alt" height="'.$style['iframe_height'].'" width="'.$style['iframe_width'].'" scrolling="'.$style['iframe_scrolling'].'" frameborder="'.$style['iframe_frameborder'].'"></iframe></center>');

}

if ($_GET['Eintraege'] != 'alt'){
if ($admin['Gaeste'] == 'ja')
if ($_SESSION['login'] != 'true') {
$nick['nickname'] = "Gast";

echo ("
<br />
<form name=\"Shoutbox\" method=\"post\" action=\"\">
  &nbsp;&nbsp;&nbsp;<input name=\"Eintrag\" type=\"text\" size=\"65\" maxlength=\"".$admin['max_nachricht']."\" />
  <input name=\"Submit\" type=\"submit\" value=\"Eintragen\" />
</form>
");

} elseif ($_SESSION['login'] = 'true') {

echo ("
<br />
<form name=\"Shoutbox\" method=\"post\" action=\"\">
  &nbsp;&nbsp;&nbsp;<input name=\"Eintrag\" type=\"text\" size=\"65\" maxlength=\"".$admin['max_nachricht']."\" />
  <input name=\"Submit\" type=\"submit\" value=\"Eintragen\" />
</form>
");

}

if ($admin['Gaeste'] == 'nein') {
if ($_SESSION['login'] = 'true') {

echo ("
<br />
<form name=\"Shoutbox\" method=\"post\" action=\"\">
  &nbsp;&nbsp;&nbsp;<input name=\"Eintrag\" type=\"text\" size=\"65\" maxlength=\"".$admin['max_nachricht']."\" />
  <input name=\"Submit\" type=\"submit\" value=\"Eintragen\" />
</form>
");

}
}
}

# Abfragen ob abgeschickt wurde (Das wusste ich auch noch xD)
if ($_POST['Submit'] == 'Eintragen'){
if (trim ($_POST['Eintrag']) != "" and strlen ($_POST['Eintrag']) > $admin['min_nachricht']){

   # Time ist kein String sondern integer, deshalb da keine '' (THX an Gremlin)
   mysql_query ("INSERT INTO ".$db_prefix."_shoutbox (Inhalt, Nickname, Datum) VALUES ('".$_POST['Eintrag']."', '".$nick['nickname']."', ".time().")");
   if ($admin['bez_sb'] == 'ja' && $_SESSION['login'] == 'true') {
$reload_db = db_query ("SELECT * FROM ".$db_prefix."_shoutbox_reload WHERE Reload >= ".time()." AND UID = ".$_SESSION['uid']."");
    
if (!mysql_num_rows ($reload_db)) {
kontobuchung ('+', $admin['bez_verguetung'], $_SESSION['uid']);
$buchungs_id=create_code(14);
buchungsliste ($buchungs_id,'+'.$admin['bez_verguetung'],'Chatbox',$_SESSION['uid']);
db_query ("INSERT INTO ".$db_prefix."_shoutbox_reload SET Reload = ".(time() + $admin['bez_reload']).", UID = ".$_SESSION['uid']."");
}
db_query ("DELETE FROM ".$db_prefix."_shoutbox_reload WHERE Reload <= ".time()."");
}

   # Wenn vorhanden dann Fehlermeldung ausgeben: (THX an Gremlin)
   if (mysql_error()) echo mysql_error();
 
 # wo db_connect(); da muss auch db_close(); hin ;) (THX an Gremlin)
 # mysql_close() or die(mysql_error()); 
 
} else { 
  echo "Fehler: Die eingegebene Nachricht ist zu kurz.<br /><br />";
}
}
      
  if ($_GET['Eintraege'] == 'alt'){
      echo "<br /><br /><strong><center><a href=\"javascript:history.back()\">Neue Einträge anzeigen</a></center><br /></strong>";
  } else {
      echo "<strong><center><a href=\"?Eintraege=alt\">Alte Einträge anzeigen</a></center><br /></strong>";
  }

if ($_GET['Eintraege'] != 'alt'){
if ($_SESSION['login'] = 'true'){
if(mysql_num_rows($smileys_auslesen)) {
    echo "<div class=\"smileys\">";
        while($row = mysql_fetch_assoc($smileys_auslesen)) {
            echo "<a href=\"javascript:;\"><img src=\"module/Shoutbox/files/smileys/".$row['img_src']."\" border=\"0\" onclick=\"addValue('".$row['img_short']."')\" /></a>&nbsp;";
        }
    echo "</div>";
}
}
}

// You can add everything here (e.g. "All rights reserved by YourSite.com") but it's strongly restricted to change or remove the Copyright!
// Begin Copyrigt
//include "copyright.php";
// End Copyrigt

foot (); 
?>

<a href="" onClick="history.back()">

Thema: Stg pn center

Themen-Optionen

Anzeige

Hybrid-Darstellung

Re: Stg pn center

Re: Stg pn center

Ähnliche Themen

Bettel-Center

PN Center von Stigma

Call Center

PN-Center

Pn Center fehler

Berechtigungen