Nein man sieht offensichtlich das eine lücke vorhanden ist, dann muss man sie natürlich auch ausnutzen.
Tut mir echt Leid Larsilein, aber ich schaue mir Codes zufällig nie an. Ich habe die üblichen Tests gemacht, es hat funktioniert und ich habe umgehend hier informiert + Hilfestellung geleistet. Wenn du dich nun aber besser fühlst, mein Kleiner, dann sind wir alle froh!
Sorry, es ist htmlspecialchars - nicht htmspecialchars 
//Edit: Wie wär's mit einer Reload-Sperre? O.o
@Pupskuchen
Ich bin dir Dankbar
Es klappt Offensichtlich 
Jetzt hoffe ich das nicht einer noch auf eine andere sache kommt, wo er solch etwas machen kann...
Scheiss egal ob ein Script Lücken hat oder nicht, wie kann man so ein kleines Ego und Minderwertigkeitskomplexe haben, dass man so was wie ein kleines Kind ausnutzen muss und Scheisse baut?!
Reife Personen würden den Webmaster einfach kontaktieren und über die Lücken informieren, aber nein, hier muss ständig irgendwer irgendwem was kaputt machen... einfach nur peinlich so was...
Richtig so und das nennt sich Community?
Erbärmlich richtig Kiddy Like.
Scheinbar wieder gebreaked. Damit wollen sie dir mitteilen: Maximal 255 zeichen!
Mindest- und Höchstlängen für Namen und Text sollten dann auch evt. reingebracht werden
Ich hab das jetzt mal ungetestet so gemacht:
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="de" lang="de">
<head>
<title>index</title>
</head>
<body>
<!-- PHP Anfang -->
<?php
//Variablen
$host = "localhost";
$user = "Euren SQL Nutzername";
$pass = "Euer SQL Passwort";
$db = "Eure Datenbank";
//Verbinung zu MySQL Herstellen
$connection = mysql_connect($host,$user,$pass);
if(!$connection)
{
echo "Verbindung auf Server <b> ".$host." </b> nicht möglich! <br />Fehler: ".mysql_error();
}
else
{
$selection = mysql_select_db($db);
if(!$selection)
{
echo "<br />Datenbank <b>".$db."</b> Konnte nicht ausgewählt werden<br />Fehler:" .mysql_error();
}
}
echo "<center><h3>Willkommen auf meinem Gästebuch, Hinterlass mir doch mal ein Feedback ;)</h3></center>";
echo "<center>
<form method='POST' action='index.php'>
<p>Name: <input type='text' name='name'/></p>
<p>Text: <input type='text' name='text'/></p>
<p><input type='submit' value='Absenden' name='send'/></p>
</form>
</center>";
//Formular auswerten
if(isset($_POST['send'])){
if(isset($_POST['name'])){
$name = $_POST['name'];
if(strlen($name) >= 3 && strlen($name) <= 16) {
if(isset($_POST['text'])){
$text = $_POST['text'];
$text = htmlspecialchars(addslashes($text));
if(strlen($text) >= 10 && strlen($name) <= 200) {
// Name und Text in die Tabelle 'test' Eintragen
$mysql_befehl = "INSERT INTO test(name,text) VALUES('$name','$text')";
$mysql_input = mysql_query($mysql_befehl);
//if($mysql_input == true){
//echo $name." und ".$text. " Erfolgreich Eingetragen";
//}
} else {
echo "Der Text muss mindestens 10, darf aber höchstens 200 Zeichen lang sein.";
}
}
} else {
echo "Der Name muss mindestens 3, darf aber höchstens 16 Zeichen lang sein.";
}
}
}
//Datensätze aus Tavelle 'test' Ausgeben
$content = "SELECT text,name FROM test";
$mysql_content = mysql_query($content);
while($into = mysql_fetch_array($mysql_content))
{
echo "<center><p><b>".$into['name']."</b>:<br />".stripslashes($into['text'])."</p></center>";
}
?>
</body>
</html>Einfach
maxlength="30"einbauen.
Einfach
Codemaxlength="30"einbauen.
Mit Firebug oder ähnlichem umgehst du sowas in fünf Sekunden.
Muss ich das so machen oder wie ?
PHPAlles anzeigen/Formular auswerten if(isset($_POST['send'])){ if(isset($_POST['name'])){ $name = $_POST['name']; if(isset($_POST['text'])){ $text = $_POST['text']; $text = htmlspecialchars(addslashes($text,maxlength="30")); // Zeugs "entschärfen" // Name und Text in die Tabelle 'test' Eintragen $mysql_befehl = "INSERT INTO test(name,text) VALUES('$name','$text')"; $mysql_input = mysql_query($mysql_befehl); //if($mysql_input == true){ //echo $name." und ".$text. " Erfolgreich Eingetragen"; //} } } }
Nein, wenn dan käme maxlength="30" in das <input>
<input type="text" name="name" maxlength="30" />
ZitatbFU:
bFU is back!
Zitatdein vater:
lars vegas du spast
Gott ist das Kindisch 
Richtig so und das nennt sich Community?
Erbärmlich richtig Kiddy Like.
Er ist selbst dafür verantwortlich wenn er sich nicht von Anfang an um solche Sicherheitslücken kümmert. Seid doch lieber froh, so ist es wenigstens relativ früh raus gekommen, und er kann die lücken schliessen bevor sich vllt leute das Skript laden und sich dann wundern müssen. Das Internet ist nunmal keine hab-mich-lieb veranstaltung, und wer das immernoch nicht gemerkt hat... naja.
und @ Lifestyler: Meinem Ego geht es hervorragend, aber danke der Nachfrage.
Anti-Reload ist schon schwieriger. Da kannst du am besten mit sessions arbeiten. Ansonsten cookies oder sonst was.
Letzte IP speichern und fertig.
Letzte IP speichern und fertig.
Es gibt proxys, auch wenn das umständlich ist
Warum aufgeben? D:
Ich hätte dich weiter unterstützt, so lernst du doch nichts. Glaub mir, lass es uns testen und dir helfen, ist besser.
Ich könnte dir helfen, wenn du Skype hast, dann schreib mir eine PN.
