ich würde deshalb vorschlagen, die get- und post-parameter grundsätzlich zu prüfen (unabhängig von den modulen). dazu müssten diese konfiguriert werden (sind sie überhaupt zulässig und wenn ja, welcher regex müssten sie entsprechen). wenn ein hacker wahllos parameter übertragt, um eine injection zu versuchen, muss dies nach meiner einschätzung missglücken, wenn wir die prüfung ausreichend stringent vornehmen.
ich habe dazu mal einen paket-vorschlag gemacht. zu finden ist das ganze hier: http://www.editio.ch/cms/front_content. ... uleView=49
die integration ist einfach. die beiden klassen sind in das verzeichnis 'contenido/classes' zu legen und in der front_content.php ganz am anfang ist folgende zeile einzufügen:
Code: Alles auswählen
include_once('../contenido/classes/atelierq.securityPackage.class.inc.php');
diese prüfung könnte nun auch auf post-parameter und auf das backend ausgedehnt werden.
natürlich muss man - wenn man mehr paramter verwendet, als ich in dieser vesion vorgesehen habe - die konfiguration entsprechend anpassen, respektive ergänzen.
für anregungen bin ich immer dankbar und hoffe, dass das die probleme lösen hilft.
gruss,
andreas