Opened by Thorium at 2006-06-06 01:03
User since
2003-08-04
232 Artikel
BenutzerIn
![[Homepage]](/battie/theme/default/homepage.gif)
![[default_avatar]](/battie/theme/default/default_avatar.gif)
2003-08-04
232 Artikel
BenutzerIn
Immer wieder hört man von Sicherheitslücken in PHP anwendungen welche Ausführen von beliebigem PHP-Code erlauben. Gerade habe ich wieder einen solchen Artikel gelesen [1] und ich frage mich, warum es immer PHP-Projekte trifft. Ich kenne mich leider mit PHP zuwenig aus und kann deshalb nicht beurteilen ob das ein allgemeines PHP-Problem ist, oder von den Entwicklern einfach nur massig Mist gebaut wird.
Ich habe mir jedenfalls mal den Code von Mambo näher angeschaut und muss sagen, dass mir dieser nicht gerade geheuer ist. Wochen später bestätigen sich dann meine Befürchtungen und es wurde in Mambo eine solche Sicherheitslücke bekannt.
In Perl wäre so etwas ja nur möglich, wenn über einen Userinput explizit ein eval laufen würde - aber wer programmiert denn sowas?
Was ist so Grundverschieden an PHP und Perl, dass PHP massig solche Dinge zulässt? Muss man bei PHP-Code prinzipiell vorsichtiger sein?
[1] http://www.heise.de/security/news/meldung/73872
Ich habe mir jedenfalls mal den Code von Mambo näher angeschaut und muss sagen, dass mir dieser nicht gerade geheuer ist. Wochen später bestätigen sich dann meine Befürchtungen und es wurde in Mambo eine solche Sicherheitslücke bekannt.
In Perl wäre so etwas ja nur möglich, wenn über einen Userinput explizit ein eval laufen würde - aber wer programmiert denn sowas?
Was ist so Grundverschieden an PHP und Perl, dass PHP massig solche Dinge zulässt? Muss man bei PHP-Code prinzipiell vorsichtiger sein?
[1] http://www.heise.de/security/news/meldung/73872
Per|li|nist der; -en, -en <zu â...ist>: a) Anhänger, Vertreter der radikalen Perlinisten die Perl als die einzig wahre Sprache ansehen; b) Mitglied einer perlinistischen Community.