Re: SV: Trojan attack mod min server
Hej,
On Tue, May 23, 2006 at 11:14:56AM +0200, Flemming Bjerke wrote:
>
> Jeg havde heldigvis intet ansvar for sårbarhederne, men det har lært mig at
> man skal være meget, meget påpasselig med hvad man slipper ind af php på ens
> server.
Jeg er egentlig ikke fortaler for php, men ovenstående er upræcist, på kanten
til at være forkert.
Usikkerheden beskrevet nedenfor indeholder ikke noget php-specifikt, udover
naturligvis syntaksen. En ækvivalent usikkerhed kunne lige så vel forekomme i
ethvert andet sprog man måtte finde på at bruge.
Php er imidlertid den slags sprog som folk ofte kommer i kontakt med som noget
af det første, og bl.a. derfor er php-kode ofte dårligt lavet og ikke specielt
gennem{tænkt,testet}.
[snip]
> > > Min index.php var kodet til at lave PHP include af den fil der angives i
> > > reqfile:
> > > if ($_REQUEST['reqfile']<>"") {
> > > include $_REQUEST['reqfile'];
> > > exit;
> > > }
--
Søren O.
"Oh, bother" said the Borg, "we've assimilated Pooh".
Reply to: