Wieder Uups. Das, was ich eingebaut hatte, bezog sich nur auf den Inputfilter des Webs-Shop.Xantiva hat geschrieben:Ups, Danke.
Ich hatte das gestern nur im Adminbereich gepostet und Doc hat es schon mit rev. 1988 eingebaut.
Sicherheitslücke in ECB-Shops bis v1.0.9
Re: Sicherheitslücke in ECB-Shops bis v1.0.9
-
- Beiträge: 93
- Registriert: Sa 8. Mai 2010, 15:17
- Shop Version: 1.0.8
Re: Sicherheitslücke in ECB-Shops bis v1.0.9
Hallo,
bitte für dei nicht-Programmierer
Sollte das nun so aussehen:
oder so?
bin da bißchen unsicher.
Danke!
bitte für dei nicht-Programmierer
Sollte das nun so aussehen:
Code: Alles auswählen
function xtc_validate_email($email) {
$valid_address = true;
## Bugfix for nullbyte injection. More: http://www.monkey-business.biz/1586/xtcommerce-v3-0-x-eregi-nullbyte-injection-sql-injection/
str_replace(array("\0", "\x00", "\u0000", "\000"), '', $email, $count); if ($count > 0) return false;
$mail_pat = '^(.+)@(.+)$';
Code: Alles auswählen
function xtc_validate_email($email) {
if (strpos($email,"\0")!==false) {return false;}
## Bugfix for nullbyte injection. More: http://www.monkey-business.biz/1586/xtcommerce-v3-0-x-eregi-nullbyte-injection-sql-injection/
str_replace(array("\0", "\x00", "\u0000", "\000"), '', $email, $count); if ($count > 0) return false;
$valid_address = true;
$mail_pat = '^(.+)@(.+)$';
Danke!
Re: Sicherheitslücke in ECB-Shops bis v1.0.9
str_replace?
Also ich würd's so machen:
Also ich würd's so machen:
Code: Alles auswählen
function xtc_validate_email($email) {
if (
strpos($email, "\0") !== false ||
strpos($email, "\x00") !== false ||
strpos($email, "\u0000") !== false ||
strpos($email, "\000") !== false
) {
return false;
}
$valid_address = true;
[...]
-
- Beiträge: 93
- Registriert: Sa 8. Mai 2010, 15:17
- Shop Version: 1.0.8
Re: Sicherheitslücke in ECB-Shops bis v1.0.9
Hi Doc Olsen
danke für das Schnipsel!
Das mit str_replace stammt von hier http://www.monkey-business.biz/1586/xtc ... injection/ - fsck nannte die Quelle.
VG
BS
danke für das Schnipsel!
Das mit str_replace stammt von hier http://www.monkey-business.biz/1586/xtc ... injection/ - fsck nannte die Quelle.
VG
BS