Hello,

Und wenn man die vom User übermittelten Daten nicht komplett verifizieren kann, dann muß man eben dafür sorgen, dass sie keinen Schaden anrichten können, eingebauter Code also nie zur Ausführung gelangt. Das gilt für Dateien (hier: hochgeladene PHP-Skripte) genauso, wie für Formularfelder (Stichwort: SQL-Injection - das ist auch ausführbarer Code, nur kürzer und in einem Formularfeld).

Das erinnert mich daran, dass es für den Schaden gar nicht immer wichtig ist, ob der Code nun auf dem Server oder auf dem Client ausgeführt wird. Es gibt da ja diese nette Hintertür in der Rendering-Maschine für JPGs bei Windows. Auf dem Unix-Server wird eine infizierte JPG-Datei vermutlich keinen Schaden anrichten, wenn sie dann aber von einem Client angefordert wird, der dieses Rotte OS drauf hat, dann ist es zu spät.

Harzliche Grüße vom Berg
http://www.annerschbarrich.de

Tom

--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau