[lkleinos]

Ich benutze com_weblinks und habe im Frontend einen Punkt eingerichtet zum posten von neuen Links mit
index.php?option=com_weblinks&task=new

Vor zwei Tagen hatte ich dann plötzlich mehrere hundert Postings jeweils mit dem gleichen Eintrag:
Name:

' or 'suntzu'='suntzu' UNION SELECT IF ((ASCII(SUBSTRING(username,1,1))=255) & 1, benchmark(300000000,CHAR(0)),0) FROM jos_users WHERE usertype='Super Administrator'/*

URL:

http://www.google.com

Description:

suntzuuuuuuu

Wie kann ich verhindern, dass über Eingabemasken Skripte ausgeführt werden?
Gibt es eine Möglichkeit, den Namen des Nutzers mit zu übertragen, um ihn identifizieren zu können (nur registrierte Nutzer dürfen posten)?

Vieln Dank schon mal für die Hilfe.

[admin]

Evtl. wäre hier Bookmarks besser geeignet, das bietet mehr Optionen als Weblinks. Eigentlich sollten Weblinks aber erst freigeschaltet werden müssen, so ist das zumindest in der Standard-Version.

[driet]

Ist die joomla!-Installation aktuell?

Ich schalte übrigens auch manuell frei, dann müssen die Leute halt mal nen Tag warten.

[lkleinos]

Erst mal danke für die prompte Antwort.
Die Links waren auch nicht freigeschaltet, ich lasse mir aber neue Links per EMail melden, kann schließlich nicht dauernd nachgucken, ob da was Neues ist. Und 300 EMails sind schon ziemlich lästig.
Die Installation ist noch 1.0.8 (wie im Sommer von Joomla100 vorinstalliert). Hab mich noch nicht getraut ein Update vorzunehmen, da selbst Teile der vorinstallierten Version nicht sauber liefen und ich erstmal Fehlersuche betreiben musste. Habe ein anderes Posting zu Risiken des Updates laufen.
Vielen Dank für den Hinweis auf Bookmarks - werde ich mir mal ansehen.

Es bleibt aber noch die Frage, wie jemand offensichtlich automatisiert solche Einträge vornehmen kann.

[driet]

Indem man spezielle scripte schreibt, die immer gleich gestrickte Seiten wie CMS in Suchmaschinen suchen und aufrufen, fest betitelte und vorgesehene Formularseiten ausfüllen und absenden ... quasi scriptgesteuerte webuser.

Viele große Anwendungsprogrammierer verwenden solche script-user-agents zum Beispiel für Lasttests ihrer software - und die spammer haben diese scripts leider auch für sich entdeckt.