Alexander Schestag wrote:
> Am 12.02.2013 13:50, schrieb Arno Welzel:
>>> Da der Dateiupload jederzeit auch unter Umgehung des Scripts erfolgen
>>> kann, musst Du die Prüfung ohnehin auch auf dem Server zusätzlich
>>> implementieren. Und was bitte ist eine "PHP-Shell" als Datei?
>>
>> Ergänzung - damit ist wohl das gemeint:
>>
>> <
http://phpshell.sourceforge.net/>
>
> Exakt. Wegen solcher Dinge ist eine sichere Prüfung zwingend notwendig.
Das deutet allerdings auf ein grundlegendes Sicherheitsproblem auf dem
Server hin. Wird etwa exec() & Co. Benutzern normalerweise verboten, sieht
eine PHP-Shell zwar noch schön aus, man kann aber damit keinen Schaden mehr
anrichten:
| Safe Mode
|
| Safe Mode is the nemisis of PHP Shell. If PHP is running in Safe Mode then
| PHP Shell will normally not work — sorry. Please read the detailed
| explaination in the SECURITY file included in the PHP Shell distribution.
(“nemisis” sollte wohl “nemesis” heissen)
Siehe hierzu auch <
http://php.net/manual/en/features.safe-mode.php>, welches
zeigt, dass der “Safe Mode” inzwischen (PHP 5.4 ist aktuell) nicht mehr
unterstützt wird. Stattdessen gibt es z. B. suPHP:
<
http://stackoverflow.com/a/7906631/855543> f.
> Aber ihr habt ja alle Recht, eine Prüfung auf dem Server ist unumgänglich.
Unumgänglich ist sie nicht, jedoch ratsam.
PointedEars
--
DER [Browser] soll sich um sowas kuemmern, nicht die MARKUP language,
mit der nur sematische Informationen gegeben werden sollen, keine
Layoutbeschreibung (das galt zumindest, bevor Netscape und Microsoft
in Wettstreit traten, wer das Prinzip nachhaltiger vergewaltigen darf,
der eindeutig zugunsten von Microsoft ausging) -- BGKS