Wie wir soeben feststellen mussten, wird durch den Einsatz des Datenbanklayers (sql_layer.php) unseres CMS vkpMx/pragmaMx, in anderen phpNuke ähnlichen Systemen eine schwere Sicherheitslücke aufgetan.
In unserem Script ist es möglich sämtliche sql-Anweisungen, die zur Generierung der HTML-Ausgabe benötigt werden, zur Fehleranalyse direkt in der HTML-Ausgabe mit anzuzeigen.
Weiterhin ist es möglich, sämtliche sql-Fehlermeldungen auf Wunsch anzeigen zu lassen.
Dies wird durch zwei globale Variablen gesteuert, die im Konfigurationsmenü von vkpMx/pragmaMx, verändert werden können.
Diese Variablen sind nur in der Umgebung des vkpMx/pragmaMx definiert. Durch den in phpNuke-Systemen üblichen pauschalen Import der Requestvariablen, selbst bei der Einstellung register_globals=OFF, können diese Variablen direkt an das Script gesendet werden. Dies bewirkt, dass jeder Besucher durch simple Übergabe der entsprechenden Variablennamen in der URL sämtliche sql-Anweisungen und selbst provozierte sql-Fehlermeldungen anzeigen lassen kann.