Prevenir inyección de SQL en PHP-Nuke

PHP Nuke Seguridad


Hackeo por Inyección de SQL:

A través del módulo Search haciendo una inyección de una sentencia UNION

Para evitarlo se pone un filtro en db\mysql.php:

function sql_query($query = "", $transaction = FALSE)
{
    if (strpos(strtolower($query),"union") > 0){die ("Fatal error: mysql error: [1064: You have an error in your SQL syntax]");}
    // Remove any pre-existing queries
    unset($this->query_result);
    ...
...

Afecta algunos ficheros de los foros que se debe cambiar por una llamada a sql_query2 que es una copia del antiguo

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies