Einzelnen Beitrag anzeigen
  #2 (permalink)  
Alt 28-10-2014, 23:20
h3ll
 Registrierter Benutzer
Links : Onlinestatus : h3ll ist offline
Registriert seit: Mar 2008
Beiträge: 3.651
h3ll befindet sich auf einem aufstrebenden Ast
Standard

Hoffentlich ist das Script nicht online. Das ist eine riesige Sicherheitslücke.

1. extract($_REQUEST) ist ganz böse. Dadurch holst du dir Nachteile ins Haus, die schon lange aus PHP entfernt wurden (Register Globals).

2. Du inkludierst die Variable $open, die einen Wert enthält, der vom Client stammt. Vertraue niemals einem Wert vom Client! Dadurch, dass du den Wert blind includest, kann man dir möglicherweise Fremdcode unterjubeln.

Geändert von h3ll (28-10-2014 um 23:51 Uhr)
Mit Zitat antworten