Den beliebten chCounter zur Statistikerhebung setze ich hier mir kurzen Unterbrechungen bereits fast dreieinhalb Jahre ein. Doch er hat eine Sicherheitslücke die es jedem ermöglicht in das Administrationsinterface zu kommen. Begebt euch einfach auf eure Login-Seite des chCounters und gebt als Benutzernamen und Passwort einmal „or ‚='“ (ohne meine Anführungszeichen ein).
Hier mal ein Screenshot meines Blognachbarn Tim:
Darauf aufmerksam gemacht hat mich Lainux. So, nun zur Abhilfe.
Öffnet in eurem Unterordner includes des Counters die Datei functions.inc.php.
Sucht die Zeile mit dem Text chC_login und fügt folgende Zeile darunter ein:
$name=mysql_real_escape_string($name);
Sieht dann so aus:
Für die Lösung dürft ihr euch bei Dirk Vorderstraße bedanken – der hat das „mal eben“ während eines kleinen Chats gelöst.