nicht angemeldet
Hi Edgar!
wenn ich das richtig verstehe, können User PHP-Code ausführen lassen? Was unternimmst Du zur Sicherung, das kein Schadcode ausgeführt wird?
Da habe ich mich etwas unglücklich ausgedrückt. Die "User" sind die Webdesigner/-entwickler, die mit dem CMS arbeiten und wollen natürlich auch, dass jedweder PHP-Code ausgeführt wird. Insofern ist das Thema "Sicherheit" in diesem Fall nicht meine Baustelle, sondern liegt ind er Verantwortung der Entwickler des CMS.
Kann ich diese Weiterleitung verhindern?
Ja. Im einfachsten Fall reicht es vorm Ausführen des Nutzercodes z. B. mitecho " ";eine Ausgabe zu erzeugen.
Gute Idee. =)
Leider wird diese Ausgabe aber von mir nicht gesteuert und ich kann den Header somit nicht beeinflussen.
Wenn nicht, kann ich sie wenigstens irgendwie erkennen ohne vorher den Code entsprechend zu parsen?
Jain. Du hast die Möglichkeit (worauf auch ein vernünftiges Sicherheitskonzept basieren sollte) mit der Tokenizer-Erweiterung der Nutzereingaben vor Ausführung zu analysieren (was parsen übrigens bedeutet).
Das werde ich so machen.
Danke für deine Ideen und Erläuterungen.
MfG H☼psel
"It's amazing I won. I was running against peace, prosperity, and incumbency."
George W. Bush speaking to Swedish Prime Minister unaware a live television camera was still rolling, June 14, 2001
Selfcode: ie:% fl:( br:> va:) ls:& fo:) rl:? n4:& ss:| de:] js:| ch:? sh:( mo:) zu:)
Auge