Hallo,
für ein kleines Webprojekt müsste ich den Inhalt einer Datei einlesen und als php-Syntax in eine neue Datei ausgeben (ja, ich weiß ).
Natürlich würde dadurch eine enorme Angriffsfläche für das Script entstehen, aber für meine Zwecke wäre es die universellste Lösung.
Nun bin ich auf die Möglichkeit gestoßen, lange Texte mit "echo <<<END" auszugeben.
(siehe http://php.net/manual/de/function.echo.php)
Während bei der normalen echo-Anwendung bösartiger Code ja problemlos mit "echo-Befehl beenden und bösartigen Code anfügen" eingeschleust werden kann, sollte das ja mit der "<<<END"-Variante nur per "END;" + bösartiger Code funktionieren, oder sehe ich das falsch?
Ergo:
Wenn bei o.g. Vorhaben (mal abgesehen davon, ob es so überhaupt sinnvoll wäre ) der String nach "END;" durchsucht und gegebenfalls ersetzt wird (z.B. durch "END; " <--- Leerzeichen am Ende), müsste diese Variante doch dann ziemlich abgesichert sein, oder?
... oder habe ich dabei irgendwas völlig übersehen und muss mir doch eine andere Variante überlegen?
für ein kleines Webprojekt müsste ich den Inhalt einer Datei einlesen und als php-Syntax in eine neue Datei ausgeben (ja, ich weiß ).
Natürlich würde dadurch eine enorme Angriffsfläche für das Script entstehen, aber für meine Zwecke wäre es die universellste Lösung.
Nun bin ich auf die Möglichkeit gestoßen, lange Texte mit "echo <<<END" auszugeben.
(siehe http://php.net/manual/de/function.echo.php)
Während bei der normalen echo-Anwendung bösartiger Code ja problemlos mit "echo-Befehl beenden und bösartigen Code anfügen" eingeschleust werden kann, sollte das ja mit der "<<<END"-Variante nur per "END;" + bösartiger Code funktionieren, oder sehe ich das falsch?
Ergo:
Wenn bei o.g. Vorhaben (mal abgesehen davon, ob es so überhaupt sinnvoll wäre ) der String nach "END;" durchsucht und gegebenfalls ersetzt wird (z.B. durch "END; " <--- Leerzeichen am Ende), müsste diese Variante doch dann ziemlich abgesichert sein, oder?
... oder habe ich dabei irgendwas völlig übersehen und muss mir doch eine andere Variante überlegen?
Kommentar