Das Musst Du die Programmierer Fragen oder mal google bemühen.
Wird wahrscheinlich aus Sicherheitsgründen nicht genau erklärt sonst Probieren das jede menge Kids und Kriminelle aus die nie auf die Idee gekommen währen.
Hmmm, "Security by Obscurity" ist immer schlecht...
Also, die erste Änderung ist einfach zu erklären: Da nicht geprüft wird, ob die Content ID eine Zahl ist, kann man hier alles Mögliche reinprfriemeln (z.B. zusätzliche Abfragen wie in etwa "gib mir alle Usernamen/Passwörter der Admins aus"). Das nennt man dann
SQL-Injection (vielleicht danach mal googeln oder die Wikipedia befragen...)
Der Sinn der zweiten und dritten Änderung ist mir allerdings schleierhaft, da magic_quotes ja eh schon Anführungszeichen maskiert. Warum man dann Anführungszeichen maskieren soll, wenn sie's eh schon sind - keine Ahnung...
Ah, Geistesblitz: Wenn jemand von aussen versucht, eine Datei mit Anweisungen zu laden (Cross Site Scripting, XSS), dann werden Anführungszeichen nicht von magic_quotes maskiert. Deswegen das addslashes.
Alles in allem: Sinnvolles Patch - besonders die erste Änderung!
@genndus: Das sind genau die Angriffe, die die Kids eh ständig ausprobieren - also kann man die auch ruhig verraten!
Ansonsten macht man (wenn man's denn auf dem eigenen Server kann), magic_quotes lieber ganz aus:
http://www.php.net/manual/de/security.magicquotes.phphttp://www.cms-sicherheit.de/module-blog-viewpub-tid-1-pid-32.htmlhttp://www.issociate.de/board/post/262617/magic_quotes_gpc?.htmlPS: Die magic_quotes-Funktionen werden in der kommenden PHP-Version 6 entfernt.
Ach ja, bleibt noch die Frage, warum man denn 3.04 SP2.1 benutzen soll - die Version hat einen sog. inputfilter in /includes/classes, der sämtliche Ein- und Übergaben prüft und bei Bedarf von allem suspektem "reinigt" ("sanitize data"). Die älteren Versionen haben diese nützliche Klasse noch nicht implementiert.