SQL Injection cpo 3.4.x

WeM · Beitrag von **WeM** » 02.08.2009 13:21

Hallo,

leider find ich's hier nicht: Wie lässt sich eine Sql-Injection unterbinden?

Hat jemand Erfahrungen / eine Kurzanleitung?

Grüße
Wem

Beitrag von **MarkusR** » 02.08.2009 13:29

http://community.conpresso.de/viewtopic.php?t=3160

für 3.4.x wäre _cfg/const.php ein guter Ort für die Einbindung.

WeM · Beitrag von **WeM** » 02.08.2009 14:36

Ja, fkt super (zumindest gibt's keine Fehlermeldung

und das Script spricht auf Schlüsselwörter an). Danke

Einbau: wie du gesagt hast, in der const.php - an beliebiger Steller nach(!)

Code: Alles auswählen

define('CPO_BASEDIR', realpath(dirname(__FILE__).'/../').'/');

Wichtig!!: in der ctracker.php darf am Ende nach

Code: Alles auswählen

?>

kein Leerzeichen mehr sein, sonst gibt's u.U. Fehlermeldungen

PS: Ist jetzt sql-injection wirklich wirksam verhindert?

Beitrag von **MarkusR** » 02.08.2009 15:28

Wichtig: Nicht an beliebiger Stelle sondern direkt nach der genannten Zeile, so wie es in der Anleitung steht. Ansonsten läuft man Gefahr den SQL-Zugang freizugeben, der in den Folgezeilen definiert wird.

Ob das jetzt ein sicherer Schutz ist mußt Du einen Hacker fragen. Sein Grinsen beim Erwähnen der seit einigen Jahren veralteten ConPresso-Version wirst Du ihm verzeihen müssen... ist das x bei Dir denn wenigstens die 11 (vor zwei Jahren erschienen) ???