sslug-teknik team mailing list archive
-
sslug-teknik team
-
Mailing list archive
-
Message #30218
Re: <-- LINUXNETWORK.DK -->
In <200011202244.AA84672812@xxxxxxxxxxx> "Anders Jensen" <fraxis@xxxxxxxxxxx> writes:
>Det er absolut heller ikke nødvendigt at vise echo $HTTP_USER_AGENT i
>bunden af siden - jeg tror godt brugeren selv ved hvilket
>operativsystem han bruger, og at browseren er Mozilla-compatible.
Rent bortset fra at ubetænksom brug af sådanne variable ofte
kan misbruges til at eksekvere kommandoer til at tage kontrol
over serveren, f.eks. ved brug af special-tegn som '|' eller '`'
Jeg har dog ikke kigget på denne site for at se om der er noget
i det valgte sprog til at generere siderne, som antyder at det
kunne misbruges her.
--
Henrik Storner | "Crackers thrive on code secrecy. Cockcroaches breed
<henrik@xxxxxxxxxx> | in the dark. It's time to let the sunlight in."
|
| Eric S. Raymond, re. the Frontpage backdoor
Follow ups
References