Re: dyndns-_Server_ fuer Debian
On Sat, 30 Jan 2010 18:21:24 +0100, Stefan Bauer
<stefan.bauer@cubewerk.de> wrote:
>On 30.01.2010 15:06, Florian Weimer wrote:
>> * Stefan Bauer:
>>
>>> if ($ENV{QUERY_STRING} =~ /hostname=(.*?)&myip=(.*)/) {
>>
>>> system('/usr/bin/nsupdate update add $1 600 IN A $2');
>>
>> Das ermöglicht das Ausführen von Shell-Befehlen, sobald ' durch "
>> ersetzt wird (um es zum Funktionieren zu brigen). Du solltest den
>> Hostnamen filtern, die Mehr-Argument-Variante von system verwenden und
>> noch an geeigneter Stelle ein "--" in die Argumentliste schreiben.
>
>Guter Einwand aber jene Personen, welche das Kennwort kennen, haben
>bereits einen gewissen Vertrauenslevel.
Gefährlicher Unfug! Der Code wird irgendwann auch für nicht
vertrauenswürdige Leute verwendet werden, und es "richtig" zu machen
wie von Florian beschrieben dauert vielleicht fünf Minuten.
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Reply to: