n'Abend!
Es gibt genug Scripte, die ich schon "rückgebaut" habe, die sowas drinstehen hatten:
include($_GET['action'].'php');
und in der URL dann den Aufruf:
Ja, sowas ist natürlich genausogut, wie die Haustür auszuhängen und dann für zwei Wochen in Urlaub zu fahren.
Wo der eigentliche Gefahrenpunkt dabei liegt, verrate ich erst, wenn der Thread nicht in zwainuzig sinnigen Folgeposts darauf kommen sollte ;-))
Die offensichtliche Gefahr ist, dass jemand durch einen geschickten Aufruf natürlich auch seine eigenen Scripte an der Stelle injizieren kann. Was die so alles anstellen, kann ich nur ahnen. Für den Anfang mal ein harmloses phpinfo(), mal sehen, wie hier alles eingerichtet ist, später vielleicht sogar Systemaufrufe, wenn dieser Jemand meint, da wäre was interessantes zu holen oder einzurichten. Da will ich lieber nicht weiter ins Detail gehen.
[das nur deshalb, weil ich sicher bin, dass ich vielleicht durch die gemeinsamen Überlegungen dann noch eine weitere Gefahrenstelle erkennen könnte...]
Es gibt noch weitere?
Naja, man kann das Szenario "eigenes Script auf fremdem Server" beliebig ausbauen, aber es lässt sich dann wohl immer auf eben diesen Basis-Tatbestand zurückführen.
Danke für die deutliche Klarstellung,
Martin