SQL Error

[Schippi]

Hallo Forengemeinde,
 bekomme seit einiger Zeit folgende Fehlermeldung wenn ich meine Shop aufrufen will:

 Ich brache wohl nicht zu erwähnen das ich keine Dateien geändert habe.

1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '%0buNiOn%0baLl+%0bsElEcT+0x393133353134353632312e 39,0x393133353134353632322e39,0' at line 5

 select whos_online_id, count from whos_online_year where year = 2014 and month = 6 and referer_url = 'http://www.schippi.de/print_product_info.php?products_id='+%0buNiOn%0baL l+%0bsElEcT+0x393133353134353632312e39,0x393133353 134353632322e39,0x393133353134353632332e39,0x39313 3353134353632342e39,0x393133353134353632352e39,0x3 93133353134353632362e39,0x3931333'

[XT SQL Error]

Weiß jemand welcher Datei der Fehler zu suchen ist?

Als Anlage habe ich mal die print_product_info.php angehangen.

Linkback: https://www.modified-shop.org/forum/index.php?topic=30356.0

[Modulfux]

Sieht nach einer klassischen SQL-Injection aus. Da dieses Query aber nicht im originalen Shop vorhanden ist, musst du dich auf die Suche machen, in welcher Datei das Query steht.

Gruß
Ronny

[webald]

1. Du fragst eine Tabelle ab, die nicht Standard ist (whos_online_year), also von wegen nix geändert.
2. in dem Link (....referer_url = 'http://www.schippi.de/print_product_info.php?products_id='+%0buNiOn%) erscheint mir das zu lang. referer_url hat in der whois_online-Tabelle nur 255 Zeichen.

Die printproduct_info ist uninteressant. Von welcher Seite wird den die Abfrage aus aufgerufen?

[ShopNix]

Sieht nach einer klassischen SQL-Injection aus.

Ist nicht eher ein gehackter Shop wahrscheinlich? Die Meldung kommt schon beim Klick auf seine Homepage!

Nachtrag: ich würde zunächst mal includes/application_top.php mit dem Original vergleichen (diff), denn der Fehler tritt auch auf, wenn z.B. mit http://www.schippi.de/shop_content.php?coID=2 eine Contentseite aufgerufen wird.