Rate mal, welcher Filter bei mir prinzipiell an ist.Zitat von Chocwise
BTW, es gibt keine Möglichkeit, den User sicher Daten an den Server übergeben zu lassen - wenn der User etwas senden soll, dann kann er alles mögliche senden, einen userseitigen Schutz gegen Fehleingaben gibt es nicht. Man sollte in seinem Skript grundsätzlich den gesendeten Daten mißtrauen, sprich: Maßnahmen ergreifen, um mögliche Fehleingaben unschädlich zu machen.
Bei dem oben genannten Codeschnipsel dürfte allerdings selbst die Eingabe von "/etc/shadow" nicht viel bringen, da kaum ein Server, der nicht gerade von einem volltrunkenen MCSE eingerichtet wurde, die Dokumentenwurzel bei / hat (und daß jemand sein System so umbaut, daß die Konfiguration in /var/www/html/etc ö.ä. liegt, kann man wohl kaum annehmen). Da alle Pfade relativ zur Dokumentenwurzel sind würde die Eingabe von "/etc/shadow" dazu führen, daß das Skript versucht, die Datei /var/www/html/etc/shadow/index.php zu öffnen.
Zitieren