| Autor |
Nachricht |
Cäptn Shimano
Kundschafter
Anmeldedatum: 12.12.2005
Beiträge: 8
Wohnort: Düsseldorf
|
 Verfasst am: Mi 26 Sep, 2007 Titel: Downloads funktionieren nicht... |
|
|
Hallo zusammen,
ich habe da ein Problem beim Runterladen der Szenarien.
Egal was ich runterladen will, beim klicken auf "Download" bekomme ich jedes Mal die folgende Fehlermeldung:
+++ schnipp! +++
Could not update download statistics data
DEBUG MODE
SQL Error : 1064 You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near 'n Shimano', 58770, 0, '50847631', 'n/a', 1190842581)' at line 3
INSERT INTO phpbb_dl_stats (cat_id, id, user_id, username, traffic, direction, user_ip, browser, time_stamp) VALUES (11, 98, 2525, 'Cäpt'n Shimano', 58770, 0, '50847631', 'n/a', 1190842581)
Line : 434
File : downloads.php
+++ schnapp! +++
Liegt das vielleicht daran, dass ich ein Apostroph (') in meinem Benutzernamen habe? Sieht ja fast so aus, oder? 
Was muss ich tun, oder könnt ihr da was machen?
Beste Grüße,
Stefan |
|
| Nach oben |
|
 |
Marc
Webmaster
Anmeldedatum: 03.05.2001
Beiträge: 2745
Wohnort: Hamburg
|
| Verfasst am: Do 27 Sep, 2007 Titel: |
|
|
Sieht fast so aus. Entferne doch mal das Apostroph aus Deinem Benutzernamen und probiere es erneut, dann wissen wir mehr.
Gruß
Marc |
|
| Nach oben |
|
|
ErzEngel
Moderator
Anmeldedatum: 03.06.2001
Beiträge: 2794
Wohnort: Nähe Altötting
|
| Verfasst am: Do 27 Sep, 2007 Titel: |
|
|
Moin,
also das liegt definitiv dran, dass du einen Apostroph in deinem Usernamen hast. Der SQL-Befehl sieht einen Wert nach dem Cäpt als abgeschlossen. Und dann fängt auf einmal ein Statement mitten im INSERT INTO an, das kein VALUE ist (also nicht in Hochkommata ' ' steht) und der Interpreter steigt aus.
Einzige Lösung:
Den Apostroph aus deinem Usernamen löschen.
_________________
"Bildung bedeutet nicht einen Eimer zu füllen, sondern ein Feuer zu entfachen."
 |
|
| Nach oben |
|
|
Marc
Webmaster
Anmeldedatum: 03.05.2001
Beiträge: 2745
Wohnort: Hamburg
|
| Verfasst am: Do 27 Sep, 2007 Titel: |
|
|
| Hm, ggf. sollte man das Zeichen zukünftig bei der Reg. schon ausschließen... |
|
| Nach oben |
|
|
ErzEngel
Moderator
Anmeldedatum: 03.06.2001
Beiträge: 2794
Wohnort: Nähe Altötting
|
| Verfasst am: Do 27 Sep, 2007 Titel: |
|
|
Würd ich grundsätzlich tun, solange du deine SQL-Abfragen über die Hochkommata ( ' ) machst und nicht über die normalen Anführungszeichen ( " ).
Sonst bekommst du den Fehler immer wieder.
_________________
"Bildung bedeutet nicht einen Eimer zu füllen, sondern ein Feuer zu entfachen."
|
|
| Nach oben |
|
|
Grzegorz
Kanzler
Anmeldedatum: 25.01.2006
Beiträge: 2364
Wohnort: Hannover
|
| Verfasst am: Do 27 Sep, 2007 Titel: |
|
|
Generell aber, lieber Marc, ist es sicherer, wenn du Apostrophe maskierst, bevor du sie in deine SQL-Strings packst. Denn sonst kann einer mit einem bestimmten Usernamen die Datenbank manipulieren. Und du weißt, Möchtegernhacker gibt es viele...
(hat mir schon mal jemand mit Erfolg demonstriert)
_________________
Meine Catan-Sammlung |
|
| Nach oben |
|
|
Cäptn Shimano
Kundschafter
Anmeldedatum: 12.12.2005
Beiträge: 8
Wohnort: Düsseldorf
|
| Verfasst am: Do 27 Sep, 2007 Titel: |
|
|
Okay, ich hatte mir das ja schon gedacht.
Ich wusste allerdings nicht, dass man seinen Usernamen einfach so ändern kann - aber es hat ja geklappt. 
Und jetzt funktionieren die Downloads auch alle! 
Gruß,
Stefan |
|
| Nach oben |
|
|
pi8ch
Kanzler
Anmeldedatum: 19.07.2002
Beiträge: 4216
Wohnort: Graz, in der schönen Steiermark
|
| Verfasst am: Mo 01 Okt, 2007 Titel: |
|
|
| Grzegorz hat Folgendes geschrieben: | Generell aber, lieber Marc, ist es sicherer, wenn du Apostrophe maskierst, bevor du sie in deine SQL-Strings packst. Denn sonst kann einer mit einem bestimmten Usernamen die Datenbank manipulieren. Und du weißt, Möchtegernhacker gibt es viele...
(hat mir schon mal jemand mit Erfolg demonstriert) |
Yop - Typischer SQl-injection..
Zum Beispiel bei der anmeldung..
Normalerweise heists da z.B.
Select * from user where username= 'testuser' and password='PASSWORD(password)'
und wenn man dann nix escaped kommt ein lustiger und meldet sich mit dem namen "admin '-- " an. (-- leitet einzeilige sql kommentare ein
Dann heist die query plötzlich
Select * from user where username= 'admin " -- ' and password='PASSWORD(password)'
d.h. alles nach -- ist dann ein kommentar und wird ignoriert - und das select auf "admin" ist immer true wenns einen user admin gibt.
So können sehr, sehr viele php/sql scripts "gehackt" werden. php bietet da einige escape-funktionen an, die man IMMER verwenden sollte wenn man formulardaten einsetzt.
_________________
I was elected to lead, not to read.
[President Schwarzenegger - Simpsons Movie] |
|
| Nach oben |
|
|
|
|
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
You can attach files in this forum
You can download files in this forum
|
|
FAQ
Suchen
Mitgliederliste
Statistiken
Downloads
Benutzergruppen
Kalender
Registrieren
Album
Team
Profil
E-Mail
Login
