sicherheit von php scripten

[DeineOmi]

Stimmt es dann wenn auf ner homepage n forumular ist das an ein PHP Script geschickt wird, dass dann zb jemand php code eingeben kann der dann zb dateien löscht usw...
Bitte postet mir mal nen Artikel der sowas ausführlich beschreibt, weil ich mach mir Sorgen. Welche php Versionen sind betroffen?

 

[AaFreak]

also ähm, wie jetzt??? kannst du das nochmal auf deutsch sagen?

welche dateien soll er den löschen können? die wo auf dem server liegen oder welche meinst du?

hast du deine hompage bei irgendeinem anbieter? wi z.b. geocities.com oder so?

und es gibt bestimmt auch eine möglichkeit den php-code zu verbieten, so wie man hier in dem board auch den html code verbieten kann...

 

[DeineOmi]

NEin also ich mein jetzt wenn ich zb ne Kontaktforumlar hab, das dann an ein php script geschickt wird.
Besteht dan die Gefahr das jemand stat Text bösen PHP Code eintragt und dieser dann ausgeführt wird?

 

[soox]

hoffe hab das richtig verstanden und erläutere das ganze mal an nem sql bsp:
du bist auf einer login seite und musst usernamen und pw eingeben...jetzt gibt es natürlich ganz schlaue leute und geben was ala

DeineOmi';update user_table set passwd=md5('test');select * from user_table where username='DeineOmi

ein...natürlich musst du hier erst ein wenig über die seite selbst herausfinden.

hoffe du hast begriffen auf was ich hinaus will
1 zu 1 ist es auch auf andere sachen zu übertragen.

ps: kA ob der sql-syntax stimmt

 

[soox]

noch was zusätzliches:
es gibt php-funktionen mit der man php code in variabeln "ausführen" kann. ich denke mal, dass diese meist in template sachen gebraucht werden.

mal schauen ob ich noch eine funktion auf der php seite finde....

[edit] http://www.php.net/manual/en/function.eval.php [/edit]