Sonderzeichen im Rätselforum

  • Wie im Heute-Thread beschrieben, hat sich ein Rätsel von mir 4 statt einmal dort eingeklinkt. Die Lösung dieses Problems ist, das man in seinen Beschreibungstexten keine Sonderzeichen verwenden darf. Ich benutzte das Zeichen " ' " in meinem Text, und das führt zu einem SQL-Database-Error, weil es dieses Zeichen als unexpected Token ansieht und sich damit aushebelt.

    Die drei verhunzten Rätseleinträge können von einem der Admins gelöscht und rausgenommen werden.

  • Hallo Ahas,

    ein schönes Beispiel dafür, wie das Forum eventuell manipuliert werden könnte. Ich werde diesen Verdacht an den Autor des Hangman-Scripts weiterleiten, sofern ich überhaupt mit ihm in Kontakt treten kann.
    Bis es zu einer Lösung des eigentlichen Problems kommt werde ich Hochkommas von einem JavaScript ausfiltern bzw. durch Anführungszeichen lassen - wobei dies niemanden abhalten wird der Interesse daran hat dem Forum tatsächlich zu schaden.

    Die drei "leeren" Beiträge von dir habe ich in den Reißwolf geschoben, damit sie dort bei Zeiten dem Shredder zugeführt werden können.

    ich befürchte dass das hangman-script ein sicherheitsrisiko darstellt,
    time

  • Hallo Time, :)

    Zitat

    ich befürchte dass das hangman-script ein sicherheitsrisiko darstellt,

    Du befürchtest richtig, denn darum habe ich diesen Thread ja auch eröffnet und von aushebeln gesprochen.

    Wenn noch etwas ist in so einer Richtung auftaucht, teile ich es per PN mit, wollen hier ja keine Tutorialz geben, ;)

    Zitat

    Die drei "leeren" Beiträge von dir habe ich in den Reißwolf geschoben, damit sie dort bei Zeiten dem Shredder zugeführt werden können.

    Ja, ist so in Ordnung, schon gesehen, :)

    • Offizieller Beitrag

    wenn es so ist, werde ich es wieder ausbauen. selbst küppers zuarbeit an die progger hat bisher zu keinem befriedigenden ergebniss geführt. time müßte mir mal seine veränderungen mitteilen.

    es gibt eine andere version wo noch andere spiele mit dabei sind.

  • Zitat

    wenn es so ist, werde ich es wieder ausbauen

    Ist auf jedem Fall ein Sicherheitsleck. Es offen zu lassen, beinhaltet die Gefahr, das Gelegenheit Diebe macht, wie man so sagt. Zumindest ist der Fehler reproduzierbar, inwieweit er ausgenutzt werden kann, um Exploitz oder bad SQL-Injections zu setzen, weiss ich nicht, könnte aber sein. Und ein Könnte reicht aus, um das ganze entweder zu code-fixen oder, wie Du es sagst, rauszunehmen und durch was anderes zu ersetzen.