Hello,

hmm da spuckt er mir nix aus, hab gelesen das man in der php.ini always_populate_raw_post_data einschalten muss um an $HTTP_RAW_POST_DATA ranzukommen.. nun wäre das aber schlecht da die scripte auch auf servern funktionieren sollen die ich nicht administriere

Das Problem steckt auch im Apachen. Eigentlich muss man sagen, dass die mitr der Abschaltung der Header- und Body-Daten bei der Weiterleitung an ein ErrorDocument eine potentielle Sicherheitslücke schließen wollten.

Wenn die nun wieder zulässt, dass Post-Data an ein nicht vorhandenes Dokument gesendet werden können, reißt Du da ggf. eine Lücke auf, die den Server angreifbar macht. Die Daten werden als Environment zum Script bereitgestellt und gammeln dann irgendwie im Speicher rum. Es könnte ja auch ein Upload enthalten sein, also viel Platz für Unsinn.

siehe hierzu aber auch:
http://www.brainonfire.net/blog/apache-pitfall-errordocument-post/

Wir haben das aber noch ganz anders gemacht. Ich grübele schon die ganze Zeit, wie denn. Ich wollte es sowieso noch zuende bespielen :-)

Im Prinzip ist mir dabei damals klar geworden, dass der Apache schon viele Dinge enthält, die man sonst mit PHP erst wieder emulieren muss. Man muss die Klamotten nur einschalten und PHP hat nur noch die Hälfte zu tun.

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg