Wie sicherlich viele schon wissen, wurde gestern mittag ein Patch für die SP2.1 (in Zusammenhang mit den Shopeigenen SEO-URLs und magic_quotes=On) mit dem Hinweis veröffentlicht, bei älteren Versionen doch bitte auf die neueste zu aktualisieren. Da aber nicht jeder mal soeben updaten kann/will und auch etliche bestehende 2.1er Shops die beiden Dateien aufgrund von Modifikationen nicht einfach austauschen können, hier eine kurze Zusammenfassung der Änderungen:
includes/application_top.php
ca. Zeile 213
$_GET[$vars[$i]] = htmlspecialchars($vars[$i +1]);
danach einfügen
if(get_magic_quotes_gpc()) $_GET[$vars[$i]] = addslashes($_GET[$vars[$i]]);
ca. Zeile 220
$_GET[$key] = htmlspecialchars($value);
danach einfügen
if(get_magic_quotes_gpc()) $_GET[$key] = addslashes($_GET[$key]);
und in der includes/modules/metatags.php
ca. Zeile 86
WHERE content_group='" . $_GET['coID'] . "' and
ändern in
WHERE content_group='" . (int)$_GET['coID'] . "' and
Das wars schon und hilft auch bei älteren Versionen
Danke für’s aufmerksam machen – ist auch optimal, dass hier die Zeilen erwähnt sind, die benötigt werden, denn wie erwähnt sind viele Shops dermassen modifiziert, dass ein einfaches Drüberkopieren nicht geht.
Wer weiß, wieviel noch unentdeckte Sicherheitslöcher existieren, hier sollte man sich echt mal die Mühe machen, kritische Dateien zu untersuchen.
Mir geht nicht ein, wieso man nicht von Haus aus addslashes und auch strip_tags verwendet; bei unseren Applikationen ist dies Standard. Traue nie einem Userinput.