2011-05-03T09:10:36 clms

Aber wenn ich es richtig verstanden habe, soll kseach.cgi ohnehin so
konfiguriert werden, dass es in den Suchergebnissen - und damit dem
Inhalt, den es selbst liefert - potentiellen PHP-Code rausfiltert.
Der PHP-Code wird nur für das Template und damit für den Rahmen um
den eigentlichen ksearch.cgi Output verwendet, wo man volle Kontrolle hat.

Hab ich anders verstanden. ksearch.cgi ist - soweit ich das sehe - so gebaut, dass das Ergebnistemplate sofort an den Browser geht. Der Fragesteller möchte aber, dass es vor dem Browser noch durch den PHP Parser läuft, weil es PHP Code enthält.
Und GwenDragon gibt zu bedenken, dass möglicherweise die Ausgabe von ksearch.cgi ungewollt von diesem Parser als Code interpretiert und damit ausgeführt werden könnte. Insofern finde ich das schon einigermaßen gefährlich. Oder hat ksearch.cgi eine Logik drin, die potenziellen Code entschärft/escapet? Das würde ja bedeuten, es wäre schon darauf ausgelegt, dass das Ergebnistemplate nochmal codemäßig geparst wird und vielleicht neue Möglichkeiten eröffnen?