2011-05-03T08:11:04 GwenDragon

Wenn die Ausgabe von kseach.cgi so als PHP weiter gereicht werden, ist zu beachten, dass ksearch über Parameter und seltsame Ausgaben im HTML kein Einschleusen von Schadcode zulässt, der dann als PHP interpretiert werden könnte!

Das ist ein wichtiger Punkt.

Aber wenn ich es richtig verstanden habe, soll kseach.cgi ohnehin so
konfiguriert werden, dass es in den Suchergebnissen - und damit dem
Inhalt, den es selbst liefert - potentiellen PHP-Code rausfiltert.
Der PHP-Code wird nur für das Template und damit für den Rahmen um
den eigentlichen ksearch.cgi Output verwendet, wo man volle Kontrolle hat.

In dem Fall würde ich mir also wenig Sorgen machen.
Bliebe nur die Frage ob ksearch.cgi wirklich allen potentiellen
PHP-Coder erwischt. Das ist bei einer Lösung mit einfachen Regex
eher unwahrscheinlich, HTML::Parser wäre da sicherer.
Aber das hatten wir ja schon diskutiert.