Kommentare zu: Lösung zu WordPress-Sicherheitslücken

Von: Wordpress 2.0.2 Sicherheits Update at erich’s web-o-rama

Wordpress 2.0.2 Sicherheits Update at erich’s web-o-rama — Sun, 12 Mar 2006 11:47:26 +0000

[...] Die aktuelle Release von WordPress schließt einige Sicherheitslücken. Der Softwar Guide Weblog fasst diese zusammen: http://sw-guide.de/2006-03/loe.....tsluecken/ [...]

Von: Software Guide » WordPress 2.0.2 Sicherheits-Release

Software Guide » WordPress 2.0.2 Sicherheits-Release — Fri, 10 Mar 2006 18:13:47 +0000

[...] 10. März 2006 Heute wurde die Version 2.0.2 veröffentlicht, allerdings waren die Gründe für dieses Security Release nicht die ‘angeblichen’ Sicherheitslücken, wie man in der Ankündigung vom WP-Entwickler Matt Mullenweg nachlesen kann. [...]

Von: Michael

Michael — Fri, 03 Mar 2006 16:49:52 +0000

Danke Tom, hab auch das noch ergänzt ;-)

Von: BloggingTom

BloggingTom — Fri, 03 Mar 2006 06:36:13 +0000

Bitte, gern geschehen, dann machen wir doch gleich noch einen Hinweis: Läuft PHP auf dem Server nicht als Apache-Modul, sondern als CGI, dann funktioniert die “eregi”-Geschichte wie oben beschrieben nicht.
Aber es ist unterdessen ja ziemlich selten, dass PHP nicht als Modul eingebunden ist… ;-)

Von: Michael

Michael — Thu, 02 Mar 2006 21:06:29 +0000

Vielen Dank auch Dir, Tom, für den Hinweis, habe ich ergänzt.

Von: Michael

Michael — Thu, 02 Mar 2006 20:53:37 +0000

Danke Robert für die Hinweise, hab das mit der index.php angepasst.
Außerdem hab ich nochmal recherchiert, gerade (1) ist wohl absolut überbewertet, außerdem entstehen Probleme bei Umlauten (wie man oben schön sieht :-) und HTML-Code geht auch nicht mehr…
Daher im Artikel jetzt noch die Punkte ‘Kritik’ und ‘Fazit’ ergänzt ;-)

Von: Robert Basic

Robert Basic — Thu, 02 Mar 2006 20:52:04 +0000

Ueberschneidung also.. statt entities specialchars nehmen..,.. thx :-)

Von: Robert Basic

Robert Basic — Thu, 02 Mar 2006 20:51:26 +0000

lol,.. klar.. htmlentities … hat jemand einen Fix fuer den Fix ?

Von: BloggingTom

BloggingTom — Thu, 02 Mar 2006 20:50:48 +0000

Zu Punkt 1 muss der "neue" Code richtigerweise folgendermassen aussehen:

$comment_author = htmlspecialchars(trim($_POST['author']));
$comment_author_email = htmlspecialchars(trim($_POST['email']));
$comment_author_url = htmlspecialchars(trim($_POST['url']));
$comment_content = htmlspecialchars(trim($_POST['comment']));