PHP Nuke Seguridad
Hackeo por Inyección de SQL:
A través del módulo Search haciendo una inyección de una sentencia UNION
Para evitarlo se pone un filtro en db\mysql.php:
PHP:
function sql_query($query = “”, $transaction = FALSE)
{
if (strpos(strtolower($query),“union”)> 0){die (“Fatal error: mysql error: [1064: You have an error in your SQL syntax]“);}
// Remove any pre-existing queries
unset($this->query_result);
…
…
{
if (strpos(strtolower($query),“union”)> 0){die (“Fatal error: mysql error: [1064: You have an error in your SQL syntax]“);}
// Remove any pre-existing queries
unset($this->query_result);
…
…
Afecta algunos ficheros de los foros que se debe cambiar por una llamada a sql_query2 que es una copia del antiguo
