Opened by werwolf at 2005-07-30 18:46
User since
2005-01-17
14607 Artikel
Admin1
![[Homepage]](/battie/theme/default/homepage.gif)
2005-01-17
14607 Artikel
Admin1
Code: (dl
)
1
2
3
4
5
6
7
8
9
10
my $originalname = param('pic');
my $filehandle = upload('pic');
if (! $originalname) {
die("Upload war nicht erfolgreich");
}
...
...
open(OUT, ">$originalname")Schon einmal daran gedacht, den Parameter pic auf gültige Zeichen und Verzeichnisse zu prüfen? So wie das dort steht, ist es eine Sicherheitslücke, denn in $originalname kann ich sonstwas reinschreiben wenn ich es als Parameter an das Skript übergebe.