Im IR/RGR Script ist ein Bug (ich weiß sind haufenweiße) womit man sich in jeden Account einloggen kann, wenn man " ' " benutzt. Weiß jemand was ich Suchen muss, damit ich das raus nehmen kann? Hab unter Login alles durch gesucht und auch nach " ' ", aber nichts gefunden. Würd mich über Hilfe freuen. Gruß
" ' " Bug
- varrez
- Geschlossen
- Erledigt
Wichtiger Hinweis: Bitte ändert nicht manuell die Schriftfarbe auf schwarz sondern belasst es bei der Standardeinstellung. Somit tragt ihr dazu bei dass euer Text auch bei Verwendung unseren dunklen Forenstils noch lesbar ist!
Tipp: Ihr wollt längere Codeausschnitte oder Logfiles bereitstellen? Benutzt unseren eigenen PasteBin-Dienst Link
-
dazu gab es schon einmal ein Thema.
IR Script Mysql Inejction -
Hilft mir leider nicht wirklich weiter, hab
format(query,sizeof(query),"SELECT `Key` FROM `users` WHERE `Name` = '%s' AND `Key` = '%s'",sendername,passwort);
zu
mysql_real_escape_string(passwort, passwort);geändert, aber beim Login kann ich mich immer noch mit ' in jeden Account einloggen
//Edit: Text richtig gemacht
-
Ich hab das mal bei jemanden so gemacht:
if(strfind(inputtext,"/",true))
{
Kick(playerid);
}Das in die Login Dialog Abfrage unter OnDialogResponse
-
Naja, würde es schon gerne raus haben, das es garnicht erst funktionieren könnte, will es nicht nur verhindern, will es komplett weg haben
-
Das kannst du nicht "rausmachen" ... Siehe hier: http://de.wikipedia.org/wiki/S…ction#Gegenma.C3.9Fnahmen
-
Hilft mir leider nicht wirklich weiter, hab
format(query,sizeof(query),"SELECT `Key` FROM `users` WHERE `Name` = '%s' AND `Key` = '%s'",sendername,passwort);
zu
mysql_real_escape_string(passwort, passwort);geändert, aber beim Login kann ich mich immer noch mit ' in jeden Account einloggen
//Edit: Text richtig gemacht
du musst mysql_real_escape_string(passwort, passwort); VOR der format Zeile einfügen und nicht die format zeile mit dem ersetzen.
also:
mysql_real_escape_string(passwort, passwort);
format(query,sizeof(query),"SELECT `Key` FROM `users` WHERE `Name` = '%s' AND `Key` = '%s'",sendername,passwort);
1. Eingabe sicher machen mit mysql_real_escape_string
2. Sicheren Text in die Abfrage einbauen MIT 'TEXT'Hier eine kleine Erklärung damit auch der Grund/Hintergrund von mysql_real_escape_string vertanden wird: Klick
-
breadfish.de
Hat das Thema geschlossen.
