sql infection?!

wersja skryptu MyBB: 1.8.6
adres forum: playcs.eu
na czym polega problem (screen, opis, komunikaty): Gościu powiedział mi, że przez taki link:

http://playcs.eu/xmlhttp.php?action=get_users&getone=1&query=poftorek

Może nadać sobie rangę. Że podobno szablon tworzy plik php, cośtam takiego.. czy muszę się obawiać?

Wszystko możliwe bez kodu źródłowego stylu nic ci nie wywróżymy

Jesli pliki nie byly modyfikowane to bajko... glupota

Wszystko możliwe bez kodu źródłowego stylu nic ci nie wywróżymy

which code?

Oczywiście, jest to możliwe. Jeszcze jak!
Wystarczy głupota administratora i brak rozumu przy forumce.

Nie może sobie nadać rangi.
Ta funkcja jak sam url wskazuje, odpowiada za pobieranie nazw i danych użytkowników do formularzy wyszukiwania (aktywne podpowiedzi). No i niby jakby on tam chciał to sobie ustawić?

action - tu nic nie zrobi, bo skrypt wykonuje tylko niektóre akcje
getone - jest rzutowane na int, będzie zawsze liczbą
query - to leci do zapytania typu SELECT, ale przed tym jest filtrowane przez escape_string_like

A to, że w przeglądarce wypluwa kod w json to normalne, na potrzeby javascriptowej strony forum.

Nie może sobie nadać rangi.
Ta funkcja jak sam url wskazuje, odpowiada za pobieranie nazw i danych użytkowników do formularzy wyszukiwania (aktywne podpowiedzi). No i niby jakby on tam chciał to sobie ustawić?

action - tu nic nie zrobi, bo skrypt wykonuje tylko niektóre akcje
getone - jest rzutowane na int, będzie zawsze liczbą
query - to leci do zapytania typu SELECT, ale przed tym jest filtrowane przez escape_string_like

A to, że w przeglądarce wypluwa kod w json to normalne, na potrzeby javascriptowej strony forum.

Również myślałem, że to bajkopisarz. Dzięki za upewnienie.