Dziwne buildy Firefoksa a błędy modyfikacji phpBB

Przed chwilą pisałem o buildzie Firefoksa pod Pentium 4. Za jego pomocą chciałem napisać o nim temat na forum MozillaPL, ale niestety skrypt na to nie pozwolił:

Error in posting

DEBUG MODE

SQL Error : 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ’s Debian package 1.0.4-2) Mnenhy/0.7′)’ at line 1

INSERT INTO phpBB_posts (topic_id, forum_id, poster_id, post_username, post_time, poster_ip, enable_bbcode, enable_html, enable_smilies, enable_sig, user_agent) VALUES (14957, 15, 488, ‚’, 1116868176, ‚53ee3e18′
, 1, 1, 1, 1, ‚Mozilla/5.0 (X11; U; Linux i686; pl-PL; rv:1.7.8) Gecko/20050523 Firefox/1.0.4 (Nerf’s Debian package 1.0.4-2) Mnenhy/0.7′)
Line : 281
File : functions_post.php

Wyglądało zatem na to, że apostrof w UA rozwalał wysyłanie postów przy zainstalowanym User Agent Hacku. Co ciekawe, po zmianie UA na poprawny błąd również uległ zmianie:

Not Acceptable

An appropriate representation of the requested resource /forum/posting.php could not be found on this server.

Czyżby plik posting.php uległ uszkodzeniu? Byłaby to bardzo interesująca dziura w UA Hacku. Byłaby też przypuszczalnie bardzo niebezpieczna, bo zapewne można by za jej pomocą wykonać dowolną komendę SQL. Jest już na szczęście załatana, ale przypadek ten pokazuje, jak łatwo można wprowadzić luki w zabezpieczeniach instalując nieautoryzowane modyfikacje kodu źródłowego. Zresztą to nie pierwszy raz, kiedy ta modyfikacja okazuje się dziurawa - za pomocą jednej z wcześniejszych wersji UA Hacka można było wstawić na forum dowolny kod XHTML.