[Die Mailer‐Kommandozeile wird an system(3) übergeben.]
Urs Janßen:
>In <t19jn7$6ee$
1...@gioia.aioe.org> on Mon, 21 Mar 2022 11:23:35,
>Friedhelm Waitzmann wrote:
>> Was passiert, wenn das Subject oder der Empfänger ein »"« enthält
>> oder ein anderes Zeichen, das innerhalb von »"…"« für das Shell
>> eine Sonderbedeutung hat, z. B. »\«, »$«, »`«?
>strfmailer() jagt %T und %S durch escape_shell_meta() wleches sich um
>\"`$&|><*();
>kuemmert.
Danke. Wenigstens mal einer, der’s richtig macht, es gibt ja
schon in zuvielen Programmen Code‐Injection‐Verwundbarkeiten.
Hab im Code nachgeschaut: Das Escaping passiert abhängig davon,
ob %T oder %S innerhalb von »"…"« oder innerhalb von »'…'« oder
unquoted auftritt. Komfortabel!
>> Was passiert, wenn %F durch eine Zeichenfolge ersetzt wird, die
>> beispielsweise white Space oder Zeichen enthält, die für das
>> Shell eine Sonderbedeutung haben?
>der filename in %F wird von tin selbst erzeugt und enthaelt keine solche
>zeichen.
… falls der Pfad zum Home‐Directory keine enthält (zwar
unwahrscheinlich, aber möglich).
Friedhelm