phpBB-ES Rojo Verde Prosilver se square left



Obviar

Possible SQL Injection [phpBB 2.0.7a]

Aquí se colocaran los anuncios Importantes sobre este sitio, y anuncios oficiales de phpBB
Foro de lectura, las dudas en el Foro oportuno por favor.
Atom Feed
Tema cerrado
Seguidores: jop

Possible SQL Injection [phpBB 2.0.7a]

Notapor ThE KuKa » Sábado, 20 Marzo 2004, 00:11

[Security Fix] Possible SQL Injection [phpBB 2.0.7a]

Noticia por Acyd Burn en phpbb.com

Se a notificado a phpbb.com de un defecto en search.html. Se recomienda que todos los usuarios de phpBB 2.0.x deben realizar los cambios especificados abajo.

Los archivos de descarga de phpbb.com estan puestos al dia, por lo tanto, las nuevas instalaciones y actualizaciones estan inmunes.

Para fijar este defecto, por favor abrir search.html en cualquier editor de texto y seguir las instrucciones:

ENCONTRAR:
Código: Seleccionar todo
$show_results = ( isset($HTTP_POST_VARS['show_results']) ) ? $HTTP_POST_VARS['show_results'] : 'posts';

DESPUES Aí?Â?í?Â?í?Â?í?Â?í?Â?í?Â?í?Â?í?Â?ADIR:
Código: Seleccionar todo
$show_results = ($show_results == 'topics') ? 'topics' : 'posts';

ENCONTRAR:
Código: Seleccionar todo
   $store_vars = array('search_results', 'total_match_count', 'split_search', 'sort_by', 'sort_dir', 'show_results', 'return_chars');

DESPUES Aí?Â?í?Â?í?Â?í?Â?í?Â?í?Â?í?Â?í?Â?ADIR:
Código: Seleccionar todo
   $search_results = '';

Para fijar los problemas de redireccion:

Abrir login.php:

ENCONTRAR:
Código: Seleccionar todo
                  $url = ( !empty($HTTP_POST_VARS['redirect']) ) ? htmlspecialchars($HTTP_POST_VARS['redirect']) : "index.$phpEx";

REEMPLAZAR POR:
Código: Seleccionar todo
   $url = ( !empty($HTTP_POST_VARS['redirect']) ) ? str_replace('& a m p;', '&', htmlspecialchars($HTTP_POST_VARS['redirect'])) : "index.$phpEx";

ENCONTRAR:
Código: Seleccionar todo
               $redirect = ( !empty($HTTP_POST_VARS['redirect']) ) ? htmlspecialchars($HTTP_POST_VARS['redirect']) : '';

REEMPLAZAR POR:
Código: Seleccionar todo
               $redirect = ( !empty($HTTP_POST_VARS['redirect']) ) ? str_replace('& a m p;', '&', htmlspecialchars($HTTP_POST_VARS['redirect'])) : '';

ENCONTRAR:
Código: Seleccionar todo
         $redirect = ( !empty($HTTP_POST_VARS['redirect']) ) ? htmlspecialchars($HTTP_POST_VARS['redirect']) : "";

REEMPLAZAR POR:
Código: Seleccionar todo
         $redirect = ( !empty($HTTP_POST_VARS['redirect']) ) ? str_replace('& a m p;', '&', htmlspecialchars($HTTP_POST_VARS['redirect'])) : "";

ENCONTRAR:
Código: Seleccionar todo
         $url = (!empty($HTTP_POST_VARS['redirect'])) ? htmlspecialchars($HTTP_POST_VARS['redirect']) : htmlspecialchars($HTTP_GET_VARS['redirect']);

DESPUES Aí?Â?í?Â?í?Â?í?Â?í?Â?í?Â?í?Â?í?Â?ADIR:
Código: Seleccionar todo
         $url = str_replace('& a m p;', '&', $url);

ENCONTRAR:
Código: Seleccionar todo
      $url = ( !empty($HTTP_POST_VARS['redirect']) ) ? htmlspecialchars($HTTP_POST_VARS['redirect']) : "index.$phpEx";

REEMPLAZAR POR:
Código: Seleccionar todo
      $url = ( !empty($HTTP_POST_VARS['redirect']) ) ? str_replace('& a m p;', '&', htmlspecialchars($HTTP_POST_VARS['redirect'])) : "index.$phpEx";

Para fijar el pequeí?Â?í?Â?í?Â?í?Â?í?Â?í?Â?í?Â?í?±o error del color de la fila mostrada en mensajes privados, estas instrucciones:

Abrir privmsg.php:

ENCONTRAR:
Código: Seleccionar todo
   message_die(GENERAL_ERROR, 'Could not query private messages', '', __LINE__, __FILE__, $sql);
}

if ( $row = $db->sql_fetchrow($result) )
{

DESPUES Aí?Â?í?Â?í?Â?í?Â?í?Â?í?Â?í?Â?í?Â?ADIR:
Código: Seleccionar todo
   $i = 0;

ENCONTRAR:
Código: Seleccionar todo
      $row_color = ( !($i % 2) ) ? $theme['td_color1'] : $theme['td_color2'];
      $row_class = ( !($i % 2) ) ? $theme['td_class1'] : $theme['td_class2'];

DESPUES Aí?Â?í?Â?í?Â?í?Â?í?Â?í?Â?í?Â?í?Â?ADIR:
Código: Seleccionar todo
      $i++;

* El codigo & a m p; hay que ponerlo SIN ESPACIOS, TODO JUNTO esta escrito de ese modo para poder ser mostrado.

Sobre lanzamiento de 2.0.7, ver este Tema
Última edición por ThE KuKa el Viernes, 07 Enero 2005, 10:10, editado 4 veces en total
Firma
Antes de nada, lee las Normas de phpBB-Es, y el siempre útil Foro de guías sobre phpBB 3.
Consulta los FAQS de ayuda de phpBB3.
Administra, modifica, actualiza tu foro con el listado de Guías de nuestra Biblioteca.
Accede a la base de modificaciones de phpBB Titania.
Si es sobre cómo Crear una Consulta SQL ya lo tienes explicado en el enlace.
En general, se recomienda Buscar antes de preguntar, quizás tu duda esté resuelta, y todos ahorremos tiempo.
Sólo tendrás Soporte si facilitas los datos correspondientes y si respetas completamente el Copyright de phpBB.
NOTA: No damos Soporte a los foros integrados en Nuke y derivados del mismo. Infórmate AQUÍ.
Mis páginas y otros datos...
© ThE KuKa - phpBB-Es.COM - Icy Phoenix España - phpBBMODs.Es - ThE KuKa
Administrador de Icy Phoenix.
Maestros del Web y 5 Lineas .COM entrevistan a ThE KuKa.
Imagen¿Quieres que lo instalemos por ti, porque tu no sabes o no tienes tiempo? Solicítalo aquí
Usuario Linux 505044 - Imagen
Avatar de Usuario
ThE KuKa
El Bixo
El Bixo
Jefe del Grupo Moderador
Jefe del Grupo Moderador
 
Mensajes: 5580
Edad: 37
Registrado: Domingo, 04 Enero 2004, 19:27
Ubicación: Sabadell
Nombre real: Raúl
Arriba

Publicidad



Colabora con nosotros haciendo una Donación y elimina esta publicidad.

¿Te fue útil este tema?

Enlace:
BBcode:
HTML:

Tema cerrado
Compartir

Volver a Anuncios Oficiales phpBB-Es

  • Temas relacionados
    Respuestas
    Vistas
    Último mensaje

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 2 invitados


Funcionando con phpBB® Forum Software © phpBB Group
Time : 0.462s | 23 Queries | GZIP : On
Diseñado por .::MSSTI::. para phpBB-Es
Traducción al español por Huan Manwë para phpbb-es.com
phpBB SEO


  • Publicidad
Publicidad por Advertisement Management