Hhierzu gibt es einen Blog der die Kunstwerke festhält.

Ein Besuch auf Kreiselkunst lohnt sich.

Viel Spaß

Die Sendung hatte für meinen Geschmack mal wieder etwas mehr Biss auch das durchhalten von Raab nach seinem Sturz war großes Kino.

Glückwunsch Hans Martin der 2 wie so schön gesagt wurde zu den 2 Millionen €

Und hier gibt es noch ein Kleines VID dazu.

Schlag den Raab 22

Jedoch frage ich mich gerade nach meinen Kundenpass, Okay habe ich wie immer vergessen weil ich soviele habe.

Nun gehe ich auf Kundenservice mein Portal und sehe das als erstes mein Pass gesperrt wurde und nun steht da was von Kundennummer eingeben!!!

Hallo Ihr Supporter von klarmobil, schön das Ihr nichtmal auf meine Email Antwortet hoffe mein Blog Posting findet sich entsprechend bei google wieder…

aber was soll bitte die Sicherheitsabfrage mit der Kundennummer ??? Hallo… wenn ich mein Pass schon nicht mehr weis, wieso sollte ich dann gerade eine lange Zahlen Com kennen und hinzu noch mein Nickname u.s.w Ist doch total für den Arsch.

Bin mal gespannt wann ich feedback auf meine Email bekomme

heute Poste ich hier mal was um die Unglückshilfe in Haiti etwas anzutreiben.
Das Team von Bilderload.com, sprich der ImageHoster wo man Bilder hochladen kann hat dort eine kleine Spende hinterlassen in der Hoffnung das alle Leser auch etwas für dieses Riesesunglück beisteuern kann um alles wieder aufzubauen.

http://www.helpedia.de/spenden-aktionen/spende-fuer-haiti/spenden

das ganze wird von http://www.hardwarejournal.de/ b.z.w von Frau Claudia Rietsch geleidet.

Mich würde es freuen wenn Ihr mithelfen könntet und ich hoffe das endlich der Engpass durch die U.S Army erledigt wird, so das jeder die Hilfe annehmen kann.

Hier auch das Paper von milw0rm dazu, alter Bug:

http://www.milw0rm.com/exploits/4327

Variable hat auch Probleme mit seite
das heißt nun:

Standart war:
SQL-Injection:

http://[target]/[path]/acrotxt.php?show=[SQL]

nun kommt aber auch dieses hinzu:
SQL-Injection:

http://[target]/[path]/acrotxt.php?seite=[SQL]

ob das ein Problem in versch. PHP Versionen ist kann ich nicht sagen.
Die v1 hat ja einige Bugs, von daher kan ich garnicht mehr sagen was ich damals alles gefixt habe. Hier sind Select Abfragen und auch die Insert nicht Okay. Hier mal ein schneller Fix wie man das mit der Seite hinbekommt, das dort kein SQL Error erscheint und das Injektion Problem behebt.


SQL-DATABASE ERROR

Database error in WoltLab Burning Board (2.3.6 pl2): Invalid SQL: SELECT * FROM bb1_acrotxt WHERE activate=1 ORDER BY word ASC LIMIT -30,30
mysql error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-30,30' at line 1
Date: 03.01.2010 @ 20:21
Referer:

Wie man hier schön sieht liegt das Problem im Bereich $offset, dort werden die Anzahlen der Seiten gezählt und mit dieser Query abgefragt.
$result = $db->unbuffered_query("SELECT * FROM bb".$n."_acrotxt WHERE activate=1 ORDER BY word ASC LIMIT ".$offset.",".$limit."");
Wie wo, ja offset,seiten und limit sind nicht Wirklich definiert auch – wenn das Limit selber abgefragt wird.

Was nun tun?

Am besten überarbeitet man das ganze Script etwas.

Zum einen Baut man mal ein
if(empty($seite))
$seite = 1; ein damit überhaupt eine Seite angezeigt wird.

ein Fix ist mit empty und is_numeric auf der Variable offset möglich! Bitte aber nicht vergessen alle SQL Abfragen mit intval,addslashes oder viel besser mit mysql_real_escape_string zu sichern.

Und zum Abschluss gibt es hier noch ein kleines Video was ich gefunden habe.

http://www.youtube.com/watch?v=BsrBe1V4GwM

Viel Spaß damit

cultd3ad