Hello,

die einzige Möglichkeit: SafeMode an... Denn PHP hat so viele Möglichkeiten, Sachen aufzurufen, das kannst du gar nicht filtern...

Soweit ich weiß, sollte diese Möglichkeit auch gehen (kanns zur Zeit leider nicht testen):

$c = "li" . 'nk';
$a = "b";
$b = "un";
$$a("datei.htm");

? Da fehlt doch was? durch $$a() wird doch auf $c nicht zurückgegriffen. Und was sollte uns das Beispiel eigentlich zeigen? Umfeld?

Mit dem Safe-Mode habe ich mich in den letzten Tagen nochmal richtig intensiv beschäftigt und kann dazu nur bemerken, dass der das Problem der Injizierbarkeit überhaupt nicht löst. Wenn Du mittels Formular ein Script auf den Server hochlädtst, dann gehört das (unter mod_php) dem Webserver und der darf dann mit dem Script auf alle Ressourcen zugreifen, die ihm ebenfalls gehören oder die zumindest in Verzeichnissen (PHP 4.3.x) geparkt sind, die ihm gehören und auf die er entsprechende Leserechte/Schreibrechte hat. Siehe http://selfhtml.bitworks.de

Liebe Grüße aus http://www.braunschweig.de

Tom