# heise Security: Mehrere Lücken in phpBB



## IT-Schrauber (22 November 2004)

Hallo Leute,

ein Update auf 2.0.11 waere wohl anzuraten wenn ich den Artikel so lese...

http://www.heise.de/security/news/meldung/53511

[/url]


----------



## Heiko (22 November 2004)

Auf dem Server werden Anfragen vor Übergabe an den Webserver gefiltert.
Das bedeutet auch, dass keine SQL-Kommandos übergeben werden dürfen.

Versuche mal folgende URL: http://forum.computerbetrug.de/index.php?SELECT-FROM

Nichtsdestotrotz werde ich das Update umgehend durchführen.


----------



## Counselor (22 November 2004)

Heiko schrieb:
			
		

> Auf dem Server werden Anfragen vor Übergabe an den Webserver gefiltert.


Guter Ansatz. Ich filtere SQL-Injektionen derzeit durch ein Skript auf dem Webserver vor der Übergabe an die Datenbank.


----------



## Heiko (22 November 2004)

Counselor schrieb:
			
		

> Ich filtere SQL-Injektionen derzeit durch ein Skript auf dem Webserver vor der Übergabe an die Datenbank.


Da das Skript ja weitgehend von phpBB übernommen wurde, wollte ich da nix mehr pfriemeln.
Zudem arbeitet der Filter auf Serverebene, also unabhängig vom Skript:
www.computerbetrug.de/index.php?SELECT+FROM


----------

