MyBB.de Forum
Suche: SQL Fehler - Druckversion

+- MyBB.de Forum (https://www.mybb.de/forum)
+-- Forum: Archiv (https://www.mybb.de/forum/forum-57.html)
+--- Forum: MyBB 1.6.x (https://www.mybb.de/forum/forum-58.html)
+---- Forum: Allgemeiner Support (https://www.mybb.de/forum/forum-59.html)
+---- Thema: Suche: SQL Fehler (/thread-30873.html)



Suche: SQL Fehler - KaSo - 31.10.2014

Hallo,

ich hab im Forum die Version, die im Profil bei mir angegeben ist.

Wenn ich unter "Suche" folgendes reinschreibe "<foo> <h1> <script> alert (bar) () ; // ' " > < prompt \x41 %42 constructor onload" bekomme ich folgende Fehlermeldung:

"
MyBB has experienced an internal SQL error and cannot continue.
SQL Error:
1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'LOWER(t.subject) LIKE '%> < prompt \x41 \%42 constructor onload%')' at line 3
Query:
SELECT t.tid, t.firstpost FROM mybb_threads t WHERE 1=1 AND t.closed NOT LIKE 'moved|%' AND ( LOWER(t.subject) LIKE '%
"

Was kann ich dagegen machen?

Gruß


RE: Suche: SQL Fehler - MrBrechreiz - 31.10.2014

Mal eine Gegenfrage.

Wieso gibt man denn solch eine Suchanfrage da ein ?


RE: Suche: SQL Fehler - KaSo - 31.10.2014

Ich wurd darüber gerade per PN auf meinem Forum aufmerksam gemacht.

Kann ich solche SQLi vorbeugen?


RE: Suche: SQL Fehler - MrBrechreiz - 31.10.2014

Naja, wer dies eingibt bekommt den Fehler erzeugt, und nicht alle anderen. Von daher ist das nicht si tragisch.


RE: Suche: SQL Fehler - KaSo - 31.10.2014

Naja weit aus tragisch ist es nicht, jedoch würd ich dagegen was vornehmen. Gibt es keine Möglichkeiten, dies vorzubeugen?


RE: Suche: SQL Fehler - Jockl - 31.10.2014

(31.10.2014, 16:56)KaSo schrieb: ...ich hab im Forum die Version, die im Profil bei mir angegeben ist.
Dann verschiebe ich das auch mal vom 1.8er Bereich in den Bereich von MyBB 1.6 Wink


Sei froh, dass Du eine Fehlermeldung erhältst. Mit so einem Unsinn kann man ein Forum mal ganz schnell aus den Fugen heben, wenn entsprechende Queries auch tatsächlich ausgeführt würden......


RE: Suche: SQL Fehler - MrBrechreiz - 31.10.2014

Wenn die 1.6* noch in der Weiterentwicklung stecken würde, würde man bestimmt da einen Filter einbauen. Dies ist aber nicht der Fall, und es öffnet sich damit auch kein Sicherheitsloch.


RE: Suche: SQL Fehler - KaSo - 31.10.2014

Wenn ich das richtig verstanden habe, kann man das garnicht vorbeugen?


RE: Suche: SQL Fehler - MrBrechreiz - 31.10.2014

Richtig


RE: Suche: SQL Fehler - StefanT - 31.10.2014

Der Bug wurde bereits mit MyBB 1.6.13 behoben. Allerdings handelt es sich hierbei um keine Sicherheitslücke.