SQL-Inject verhindern

**LordHeruur** · #1 11.08.08, 18:01

Hallo,
ich pflege eine Internetseite und habe heute eine Email bekommen, dass angeblich an einer Stelle der Seite ein SQL-Inject möglich wäre. Ich habe keine Ahnung von MySQL oder vom Hacken, habe also keine Ahnung, was ich tun kann.

In der Email schrieb der Nutzter die URL, an welcher der Inject möglich wäre, wenn man dem Link folgt, kommt folgende Fehlermeldung:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' AND user_tuexenia_daten.deleted=0 AND user_tuexenia_daten.hidd

Warning: mysql_fetch_assoc(:sad: supplied argument is not a valid MySQL result resource in /var/www/virtual/tuexenia.de/typo3_src-4.0/t3lib/class.t3lib_db.php on line 801

Warning: Cannot modify header information - headers already sent by (output started at /var/www/virtual/tuexenia.de/typo3_src-4.0/t3lib/class.t3lib_db.php:1095) in /var/www/virtual/tuexenia.de/typo3_src-4.0/typo3/sysext/cms/tslib/class.tslib_fe.php on line 2767

Wäre ist mit einem Update getan?

**Phlogiston** · #2 12.08.08, 14:58

Ist die Injection auf eine Extension oder auf den Core? Mehr infos wären schön.

**LordHeruur** · #3 12.08.08, 15:51

So gut kenne ich mich da auch nicht aus. Die Person meinte, dass die Injection genau hier möglich wäre:
http://www.tuexenia.de/index.php?id=14&no_cache=1&user_tuexenia_pi1[band]=14%27

Mehr Infos habe ich auch nicht und ich bin mir nicht ganz sicher, ob es eine gute Idee ist, den Link hier öffentlich zu posten.

**Phlogiston** · #4 12.08.08, 16:09

Hmm die Extension ist selbst geschrieben oder?

**LordHeruur** · #5 12.08.08, 16:15

Kann gut sein, ich bin erst mit der Seite betraut worden, als sie schon einige Jahre bestand. Ich weiß also nicht wer, wann die Seite aufgebaut hat.

Irgendwie denke ich auch, dass das nur eine Masche zur Abzocke ist, denn der weitere Wortlaut der Email lautete wie folgt:
Als Schüler, der sein Taschengeld aufbessern möchte, biete ich ihnen für 25€ (bezahlbar per paysafecard,paysafecard : de : Privat : Home) an, das ich Ihre Webseite auf Sicherheitslücken (Sql-Injections, XSS etc.) überprüfe und ihnen helfe, sie zu schliessen.

**Phlogiston** · #6 12.08.08, 16:24

Na ja, vielleicht macht er das ja wirklich

Aber wenn du magst kannst du mir den Extension Code schicken, dann überflieg ich das mal - kostenlos

**LordHeruur** · #7 12.08.08, 16:34

Wo genau im Backend finde ich den?

**Phlogiston** · #8 12.08.08, 16:43

Wahrscheinlich irgendwas mit tuexenia.

**LordHeruur** · #9 12.08.08, 19:23

Gefahr erkannt, Gefahr gebannt! Danke Phlogiston!

(scheinbar sind die Präfixe wieder weg, kann sie weder mit FireFox 3.0, IE 7 oder Opera 9.5 finden)

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht	Thema bewerten
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln	Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Bilder download verhindern	djelectric	TYPO3 4.x Fragen und Probleme	6	29.06.08 14:01
direktaufruf von Dateien über die Url verhindern	charly21	TYPO3 4.x Fragen und Probleme	5	17.08.07 11:15
Entity Ersetzung verhindern & amp ;	arittner	TYPO3 4.x Fragen und Probleme	2	21.01.07 11:38
Dubletten verhindern!	Thoral	Extension modifizieren oder neu erstellen	2	14.09.06 10:54
Automatische Verlinkung auf dem Weg DB=>FE verhindern	uffi	Tools und Tipps	0	05.03.06 17:31

Suche

Userpanel

SQL-Inject verhindern