2010-01-05T14:57:25 pq

und wie willst du sicherstellen, dass da nicht irgendeine .pl aufgerufen wird? da musst du doch erst noch rumprüfen und sicherstellen.

Was nicht im PlugIn-Verzeichnis liegt, kann nicht aufgerufen werden, was soll ich da großartig sicherstellen ohne mir durch unnötige weitere Tabellen weitere Fehlerquellen an Land zu ziehen?

2010-01-05T14:57:25 pq

den ganzen mist spart man sich z.b. mit einer dispatchtabelle.

Bitte um nähere Definition von "mist", kann keinen erkennen.

2010-01-05T14:57:25 pq

sich dynamisch modul- oder skriptnamen aus CGI übergeben zu lassen, ohne vorher auf eine whitelist zu prüfen, ist unsicher bzw. wenn man es absichern will, letztendlich viel zu umständlich.

Warum und inwiefern ist das unsicher?

2010-01-05T14:57:25 pq

bitte um erhellende aufklärung mittels eines stückchens code, der deine variante zeigt und sicher ist.

Da gibts nicht viel Code, ich nehme mir den CGI-Parameter und schaue mit if (-f "/home/pfad/pluginverz/$cgi_parameter_action.pl"){} im vordefinierten PlugIn-Verzeichnis nach, ob es die Datei gibt. Alles weitere dürfte Dir bestimmt geläufig sein.