Hallo,

ich habe in den letzten Tagen das Problem, dass immer wieder schädliche Code in meine Dateien (JavaScript, HTML und PHP) gelangt. Ich weiß allerdings nicht, wo die Lücke liegen kann. Ich habe außer meinem Projekt nur Piwik in der aktuellen Version auf dem Server. In meinem Projekt gibt es nur eine Datei, die in Dateien schreiben kann und auf die wird nicht verlinkt und sie ist mit einem Passwort geschützt (das aber evtl. nicht gut genug ist). Ich führe keinen Code aus der Datenbank per eval oder ähnlichem aus und in die Datenbank kann eigentlich auch kein schädlicher Code gelangen, weil ich immer real_escape_string verwende.

Ich öffne Dateien, deren Name per URL-Parameter übergeben wurde. Mit file_exists prüfe ich zunächst, ob es eine Datei mit dem Namen und entsprechender Endung gibt. Ich lese die Datei mit file() ein und verarbeite sie dann weiter. Kann es sein, dass file_exists() oder file() unsicher ist und sich auch falsche Dateinamen übergeben lassen, die dann irgendwie dazu führen, dass der Inhalt einer anderen Datei geändert wird?