fastix®: Unsicherheit beseitigt

Beitrag lesen

Moin!

Was passiert den, wenn ich als user »peter\« und als passwort »&& shutdown now && « oder ähnliches angebe?

Was kommt raus?

htpasswd2 -b userfile "peter\" "&& shutdown now && "

Blöd, was?

Nein. Das kann nicht rauskommen. Ich habe nach dem Hinweis noch mal nachgesehen und was nachgebessert.

Innerhalb des in quotas übergeben Strings kann, muss und darf ich nur das Quotierungszeichen selbst (hier: ") und den Backslash maskieren. Sonst verändere ich das Passwort. Das Problem bei den vorgefertigten Funktionen ist die Dokumentation:

Zitat:
"escapeshellarg() fügt einfache Anführungszeichen um eine Zeichenkette herum ein und maskiert alle existierenden einfachen Anführungszeichen innerhalb der Zeichenkette"

... stimmt schon mal unter Windows nicht und hilft einen Dr... wenn ein freundlicher Benutzer ein wenig "mitescapt". Da ist ja meine (aktuelle) Version sicherer...

htpasswd2 -b ".htpasswd\"" "peter" "&& shutdown now &&"

kommt raus. Dieser Punkt ist jetzt safe.

MFFG (Mit freundlich- friedfertigem Grinsen)

fastix®

--
Als Freiberufler bin ich immer auf der Suche nach Aufträgen: Schulungen, Seminare, Training, Development