Hallo Tekin,
da hast Du mich falsch verstanden oder ich habe mich blöd ausgedrückt.
Das "return false;" beim "nullbyte" funktioniert sicher bestens.
Ich wollte aber an zwei Testsystemen von mir (beide xt:Commerce 3.0.4 SP2.1) diese sql-injection einfach mal durchspielen, bevor ich den Patch mache. Dabei habe ich festgestellt, dass die sql-injection fehlschlug, da das Backslash scheinbar schon vorher abgefangen wurde. Kann es sein, dass es PHP-Versionen gibt, wo die "eregi" Funktion bezüglich dem "nullbyte" "entschärft" wurde oder dass das Backslash bereits woanders abgefangen wird?
Den Patch habe ich natürlich trotzdem eingespielt.
Grüße
Klaus