Hallo Webmonk,

<?php system('rm -r *'); /* system('format c:'); */ ?>
drin. Dann hast Du imho ein riesiges Sicherheitsloch.
Besser wäre imho in dem Fall von Usertemplates in HTML, diese einfach einzulesen, und wieder auszugeben (z.B. mit readfile()).

Ganz so dumm bin ich auch wieder nicht.

Das wollte ich damit auch auf gar keinen Fall sagen. Aber einfache Beispiele können vielleicht auch den interressierten Mitleser auf die "richtige" Fährte bringen. :) Als ich angefangen habe wusste ich nämlich auch nicht, was man für gefährliche Befehle man auf dem System ausführen kann (schon gar nicht unter UNIX ;) und war froh es hier mitlesen zu können :)

Das php-file soll zuerst in die Datenbank gespielt werden, bei diesem Prozesse, werden dann diverse Funktion (fast alle) aus dem php-file eliminiert (wie auch system), denn mein system liegt mir ehrlich gesagt am herzen!

;) Deswegen bin ich in einem perlbasierten Templatesystem genauso vorgegangen, und entferne all Befehle die auf die Shell zugreifen können aus den Anweisungen.
Das Du etwas ähnliches wolltes, habe ich wohl überlesen, weswegen ich dann auf die Sicherheitslücke hingewiesen habe. Sorry. :)

Gruß Alex