betterworld+2008-02-17 19:12:26--

KurtZ+2008-02-17 18:05:36--

Error in executing SQL: You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near 'WHERE id != 27 ORDER BY pb_threads.lastAction DESC LIMIT 30' at
Bitte klicke auf und korrigiere diesen Fehler.

Sieht jetzt aber nicht so aus, als ob da Benutzereingaben an MySQL uebergeben wurden. Sieht aber komisch aus, gehoert das "Bitte klicke..." zur MySQL-Ausgabe?

nee, Perl fängt schon den Fehler ab und baut ihn in eine Seite ein. da hattte ich eine übergebene Ziffer negiert. Als ich die Zahl um die Injection erweitert habe hat er die Zahl einwandfrei ausgewertet und keien Fehlermeldung geschmissen.

Das sieht ziemlich böse aus...

betterworld+2008-02-17 19:12:26--

Ich bin zwar gerade nicht aktiv in der Boardentwicklung, aber ich glaube, ohne eine Angabe, wie man das reproduzieren kann, kann da keiner viel machen. (Kannst es ja per PM an einen Mod schicken oder so, wenn Du vermutest, dass es ein Sicherheitsrisiko ist.)

Ich will bewusst keine zu deutlichen Angaben machenj. PM gerne, aber an wenn am besten? Bin hier neu und blicke noch nicht durch.

EDIT: Hab jetzt ne PM an Strat geschickt, schließlich steht er im Impressum.