Hallo!

Insofern ist also eine Whitelist vorzuziehen.

Blacklist bringt gar nichts wenn man sich nicht 100%ig auskennt und wenn dem so wäre würde man so eine Frage nicht stellen, eine Whitelist ist sicher besser, aber wie stellt Ihr euch das vor? Entweder man schreibt den PHP-Parser nach so dass man nur Funktionnamen in die Whitelist schreiben braucht, aber das ist sicher nicht ganz so einfach. Wenn man den kompletten Code nur parst, was macht Ihr dann mit sowas:

echo 'mit shell_exec, eval, etc. kann man böse Dinge anrichten...';

willst Du alle Wörter die ausgegeben werden könnten auf eine Whitelist schreiben?

Und @Michael:

Die erste Antwort auf Dein Posting war: [pref:t=48684&m=265538]

"lulu: (PHP) nimm das Script schnell runter

Huhu

kann mir darüber jemand schaden auf dem server anrichten?

Ja. Das ist virtueller Suicid was Du da machst !!!!
(Ausnahmsweise prelle ich hier mal ;-) )

Viele Grüße

lulu"

Was verstehst Du denn sonst unter "Warnung"?
Jedenfalls ist und bleibt so ein Scirpt eine wirklich wahnsinnige Sicherheitslücke, egal wie Du es drehst oder wendest. Solange Du fremden Code auf Deinem Rechner ausführen lässt kannst Du Dir nie 100%ig sicher sein ob nicht doch jemand einen Weg findet Deine Sicherheitsmechanismen zu umgehen.

Wenn Du es denn unbedingt machen willst, dann schütze das Verzeichnis so gut es geht, am besten mit HTTP-Auth. _und_ SSL. Und die Zugangsdaten gibst Du dann nur den Personen denen Du 100%ig vertraust. Nur wenn sich irgendwann mal einer davon über Dich ärgert, und sich eher als Du an dieses Script erinnert, wirst Du wieder freudige Überraschungen erleben! Und bedenke, wenn Dir jemand wirklich schaden will hilft Dir auch das Backup nicht zwangsweise zurück zu Deinen Daten, oder er sorgt dafür das Dein Provider Dich 8-kantig rausschmeißt, oder...
Das was Du auf Deinem Server erlebt hast war IMHO nur Spielerei.

Grüße
Andreas