> $user -> gigi > $parola -> ; /bin/rm -rf / ; echo sanatate > > doar sa-i bagi escape_shell_args sau cum se numea functia aia, si tot mi-ar cam > fi tarsha sa-l pun pe server (dar eu sunt si cam paranoic); varianta cu baza de > date e muuuuuuuuult mai sigura, din pacate particularizeaza (si daca pui > vpopmailul cu alt modul de extragere a luzerilor, pa si pussy)
normal ca programatorul priceput isi va verifica si rasverifica variabilele inainte sa le paseze la system. acuma, alta treaba: gaseste cineva vreo metoda de a face rau daca montez un script direct rulabil ca cgi, scriptul indeplinind urmatoarele: 1. nu primeste nici un fel de date prin GET/POST 2. nu foloseste nici un fel de variabile de environment 3. executa comenzi sistem specificate prin cale completa; comenzile sint exclusiv tar, cp, mv, echo, scp si mail, cu parametri ficshi eu ma gindesc ca e pretty safe, dar poate e cineva mai diabolic ? --- Detalii despre listele noastre de mail: http://www.lug.ro/
