Hallo Sven,

Danke fuer die Antwort.

Ist [oeffentliches phpinfo()] wirklich ein Sicherheitsrisiko?
Es ist dann ein Risiko, wenn man dadurch interessante Informationen erfährt. Beispielsweise, ob ein PHP angreifbar ist, weil es eine alte Version ist.

_Diese_ Information schickt ja jedes PHP-Skript bereits im
HTTP-Header mit:
"X-Powered-By: PHP/4.3.0"
(Jedenfalls auf allen Servern, die ich bisher angetroffen habe.)

Zusammen mit den ganzen Pfadangaben, die drinstehen, könnte man sich da was basteln.

Auch ohne eine Moeglichkeit, Code auf dem Server selbst
ausfuehren zu lassen, z.B. bei einem _sehr_ lausigen Gaestebuch
oder so?
Rein dadurch, dass man einem beliebigen Skript, das Parameter
mit bekannten Namen entgegennimmt, eine "sehr boese Anfrage" schickt?

Was gibt/gab es fuer Moeglichkeiten/Ansaetze, "boeses zu tun",
unter den Bedingungen dass
a) keine GPC-Variablen ungeprueft uebernommen werden,
   um z.B. aufs Filesystem zuzugreifen und
b) kein Skript vorhanden ist, das dafuer bestimmt ist,
   eine hochgeladene Datei zu verarbeiten?

Ist/war es moeglich, durch eine POST-Anfrage, die eine
Datei hochzuladen versucht, ein Skript anzugreifen,
das von Natur aus gar keinen Upload verarbeitet?

Kurz: Würdest du einem Einbrecher eine Bauzeichnung in die Hand geben, selbst wenn du wüßtest, dass die Alarmanlage undurchdringlich ist?

Kommt darauf an, wie hoch und dick die Mauern sind...

Gruesse,

Thomas