system, exec, popen: Sicherheitsrisiko
Posted: 2005-03-28 00:10
Hallo zusammen!
Jeder weiß ja, dass system(), exec(), popen() und wie sie alle heißen auf einem Kundenserver Sicherheitsrisiken mit sich bringen. Lässt es sich nun - ohne sudo und Ã?hnlichem - trotzdem irgendwie machen, dass ein Kunde Mails direkt über ini_get('sendmail_path') versenden kann? Dazu wäre ja nämlich ein popen nötig. Dieser Befehl allein stellt ja kein Sicherheitsrisiko dar und kann meines Wissens auch nicht missbraucht werden.
Ist dies also irgendwie machbar, dass sendmail benutzt, aber sonst kein Script ausgeführt werden kann?
Vielen Dank für Eure Tipps!
Jeder weiß ja, dass system(), exec(), popen() und wie sie alle heißen auf einem Kundenserver Sicherheitsrisiken mit sich bringen. Lässt es sich nun - ohne sudo und Ã?hnlichem - trotzdem irgendwie machen, dass ein Kunde Mails direkt über ini_get('sendmail_path') versenden kann? Dazu wäre ja nämlich ein popen nötig. Dieser Befehl allein stellt ja kein Sicherheitsrisiko dar und kann meines Wissens auch nicht missbraucht werden.
Ist dies also irgendwie machbar, dass sendmail benutzt, aber sonst kein Script ausgeführt werden kann?
Vielen Dank für Eure Tipps!