>> Fabian Hänsel schrieb: >> >> PHP-Script programmiert, welches mittels eines bash-scripts aller 5 >> >> Sekunden den aktuell laufenden Song in eine Datenbank einträgt, >> >> damit die anderen HP-Betreiber per "view" darauf zugreifen können. >> > <murmel>Shell-Injection-Attacks sind gefährlich</murmel> >> >> Wie ist das jetzt gemeint? >> Der Remote-User bekommt durch dieses "view" ausschließlich >> select-Rechte für dieses eine "view". > > Neben den schon genannten Parametern sind Shellskripte auch sehr > anfällig für Umgebungsvariablen - sie vertrauen auf so einige davon und > lassen sich damit gern zu Unsinn überreden.
Jetzt verstehe ich, neee, so läuft das natürlich nicht. Das bash-script soll nur das PHP-Script regelmäßig ausführen, welches die Daten selbsttätig sammelt und in die DB schreibt. Sozusagen als Alternative zu einem cron-job, weil cron eben keine Sekunden kennt. Das hat mit den anderen HP-Betreibern gar nix zu tun. Was die anderen HP-Betreiber bekommen, ist lediglich der Inhalt eines einzigen Feldes. Die zur Verfügung gestellten Zugangsdaten gestatten keinerlei Zugang zu den Scripten, noch zu einer Datenbank-Tabelle, sondern ausschließlich das select-Recht für ein einziges MySQL-view. Gruß René Thiel (Rennkuckuck) mailto:[email protected] -- http://rennkuckuck.de - Die Rumänien-Seiten http://rtol.de - Dynamische Webseiten mit PHP, MySQL und CSS _______________________________________________ Lug-dd maillist - [email protected] https://ssl.schlittermann.de/mailman/listinfo/lug-dd
