by SPliZZ » 14. December 2004 12:54
Ja. Genau. Daran hatte ich gar nicht gedacht. Und zwar deshalb nicht, weil ich denke, wenn eine Programmiersprache schon so eine Funktion anbietet, benütze ich die auch, damit bin ich auf der sicheren Seite. Security-Updates mache wir ja alle?!
Mir ist nämlich bei Deinem Vorschlag unklar, wie ich verhindere, dass z.B. Konfigdateien mit Passwörtern ausgelesen werden. Bisher hatte ich da immer untersucht, ob $_POST['filename'] zusätzlich zu dem von der Anwendung gewollten $HTTP_POST_FILES['filename'] gesetzt war. Wenn ja, hat der "Benutzer" wohl versucht eine POST-Variable mit einem falschen Wert z.B. "conifg.inc.php" mitzusenden. Eventuell führt dies dann über die Anwendung dazu, dass Dateien zugänglich gemacht werden, die geheim bleiben sollten. Liege ich da jetzt völlig falsch?