fastix®: Skript enthält Sicherheitslücke, NICHT VERWENDEN!

Beitrag lesen

Moin!

Hi fastix®,

[x] gefixt. Danke!

„MyShellEscape()” - Autsch.

Abgesehen davon, dass deine Escape-Funktion jede Menge an Eventualitäten nicht berücksichtigt (Jonathan sprach das ja bereits an), wofür bringt PHP bitte schön eine Funktion escapeshellarg() mit?

Das Problem bei den vorgefertigten Funktionen ist die Dokumentation:

Zitat:
"escapeshellarg() fügt einfache Anführungszeichen um eine Zeichenkette herum ein und maskiert alle existierenden einfachen Anführungszeichen innerhalb der Zeichenkette"

"escapeshellarg() adds single quotes around a string and quotes/escapes any existing single quotes allowing you to pass a string directly to a shell function and having it be treated as a single safe argument."

Wenn die Dokumentation stimmt, dann nützt mir das nichts. Was ist mit Maskierungszeichen?

Weiteres Problem: Unter SuSE hast du Glück, htpasswd2 existiert, liegt in /usr/bin und somit im Bereich von $PATH.

Unter Debian und Unbuntu ... [Red Hat, selbst kompiliert]

...

[x] gefixt: Das Binary lässt sich jetzt in der Konfiguration eintragen.

[x] Ich werde mir dennoch mal das von Dennis verlinkte Skript anschauen.

MFFG (Mit freundlich- friedfertigem Grinsen)

fastix®

--
Als Freiberufler bin ich immer auf der Suche nach Aufträgen: Schulungen, Seminare, Training, Development