Mailinglisten-Archive |
Hi, On Tue, Jan 23, 2007 at 02:01:07PM +0100, Sebastian Mendel wrote: > > > > Ich wuesste auch keine andere Moeglichkeit eval() zu sperren, wenn doch > > jemand was weiss, faend ich das spannend. > > kein eval verwenden - und wenn ein 'WasAuchImmer' es schafft Code mit > eval einzuschleusen kann er Code mit jedwedem anderen Befehlen auch > einfügen - er ist dann eigentlich nicht auf eval begrenzt ... Soweit klar ;-) Das hier nicht das eval das eigentliche Problem war ist mir schon klar, meine Frage ging eher dahin ob es (unabhaehngig von diesem "Einbruch") eine Moeglichkeit gibt ohne PHP zu patchen. > Das Problem von eval ist eigentlich nur die Verwendung mit nicht > ausreichend überprüften Variablen - was hier aber nicht zutrifft - > sondern der 'WasAuchImmer' hat selber den eval Code eingeschleußt - also > kann er auch jeden anderen beliebigen Code einschleusen und könnte die > Funktionalität auch ohne eval nachbauen. Auch hier bin ich vollkommen deiner Meinung. Das Grundproblem hier (und bei den meisten "PHP-Hacks") ist nicht PHP als Sprache, sondern die schlechten/unsicheren Applikationen. Die Versuch schlechte Applikationen mit PHP-Konfigurationen sicher zu bekommen ist meiner Ansicht nach der voellig falsche Weg. Und wenn's dann doch kracht, dann ist der Provider der boese... Nunja. Gruss Jens
php::bar PHP Wiki - Listenarchive