Moin!
Sorry, aber das hier muss ich nochmal deutlicher erklären, um die Dramatik dieser Zeile zu betonen:
Sicherheitslücke: Du übergibst der Kommandozeile ohne Escaping Dateiname, Username und Passwort!!!
Man kann beliebige Systemkommandos im Kontext des Webserverusers ausführen! Dazu muss man einfach nur "passende" Usernamen oder Passworte benutzen.
So, wie das Skript derzeit ist, ist es gefährlich und sollte sofort offline genommen werden!
- Sven Rautenberg
--
"Love your nation - respect the others."
"Love your nation - respect the others."