Hallo DZCP-Supporter

Ich habe den folgenden Fehler bisher nur im Gästebuch, seit eurer PHP Umstellung. Wie kann ich das beheben? http://www.abload.de/img/mysql-query_failed_95smv.png

Gruß Matthias

#####################

Support Informationen

#####################

Allgemein

#########
DZCP Version: 1.5.5
Domain: nfsw-srs-crew.bplaced.net/
System/Browser: Mozilla/5.0 (Windows NT 5.1; rv:17.0) Gecko/17.0 Firefox/17.0
#########

Versionen

#########
Server OS: x86_64
Apache Version:
PHP-Version: 5.3.16
MySQL-Version: 5.5.27
#########

Servereinstellungen

#########
fopen(): On
fsockopen(): Off
allow_url_fopen:
register_globals:
safe_mode:
safe_mode_exec_dir:
safe_mode_gid:
safe_mode_include_dir:
open_basedir:
GD-Version: bundled (2.0.34 compatible)
imagettftext(): exists
HTTP_ACCEPT_ENCODING:
magic_quotes_gpc:
file_uploads:
upload_max_filesize:
sendmail_from:
sendmail_path:

Hallo Matthias,

der Fehler rührt vom Apostroph in der Nachricht her, da MySQL dies als Ende der Nachricht ansieht und somit den Rest als Code interpretiert. Ich bezweifle eigentlich, dass dieser Fehler erst seit dem Update existiert - ich wüsste nicht, dass an den Maskierungsfunktionen von PHP etwas geändert worden ist. Ich glaube eher, dass der Fehler bisher nur nicht bemerkt worden ist, da vielleicht noch keiner das Zeichen in eienr Nachricht verwendet hat.

Umso besser, dass du den Fehler jetzt bemerkst, bevor es eventuell zu spät gewesen wäre, denn durch die Ausnutzung solcher Nachlässigkeiten kann großer Schaden in der Datenbank angerichtet werden.

Wo hast du das Gästebuchskript her oder hast du es selbst programmiert? Du müsstest auf jeden Fall die Nachricht, bevor sie in den SQL-Befehl eingebaut wird, einmal durch mysql_real_escape_string() jagen.

[quote=“thorr”]Hallo Matthias,

der Fehler rührt vom Apostroph in der Nachricht her, da MySQL dies als Ende der Nachricht ansieht und somit den Rest als Code interpretiert. Ich bezweifle eigentlich, dass dieser Fehler erst seit dem Update existiert - ich wüsste nicht, dass an den Maskierungsfunktionen von PHP etwas geändert worden ist. Ich glaube eher, dass der Fehler bisher nur nicht bemerkt worden ist, da vielleicht noch keiner das Zeichen in eienr Nachricht verwendet hat.

Umso besser, dass du den Fehler jetzt bemerkst, bevor es eventuell zu spät gewesen wäre, denn durch die Ausnutzung solcher Nachlässigkeiten kann großer Schaden in der Datenbank angerichtet werden.

Wo hast du das Gästebuchskript her oder hast du es selbst programmiert? Du müsstest auf jeden Fall die Nachricht, bevor sie in den SQL-Befehl eingebaut wird, einmal durch mysql_real_escape_string() jagen.[/quote]
Danke für die schnelle Antwort.

Ich habe von Datenbanken kaum Ahnung, genauso wenig wie von PHP (eher Grafiker). Deswegen kann und werde ich da auch nichts ändern können vorläufig am Code der MySQL.

Ich werde testweise den Eintrag mal editieren und schauen ob der Fehler dann weg ist und ich den Eintrag dann ohne Fehlermeldung kommentieren kann. Wenn es so sein sollte, weiß ich ab sofort wo der Fehler liegt.

p.s. das Gästebuch ist nicht extern oder ein anderes Script, sondern ein Bestandteil von DZCP (DevilsClanPortal) einem CMS für Clans.