On Thu, August 9, 2007 13:16, soeren.koch@xxxxxxxx wrote:
Problemet med at lægge PHP eller perlkode ind i en html side er at alle så får adgang til at
analysere kildekoden og har dermed MEGET lættere ved at opdage fejl og eller uforsigtigheder som
vil muliggøre angreb (jeg tænker her på shell-angreb igennem eventuelle system(), open() eller
exec() komandoer samt SQL injection hvis man arbejder med databaser.
Hmm... Bliver html-koden med den indlagte php/perl ikke altid tilgået via web-serveren når en
udefra kommende prøver at få fat i html-koden? Hvis den gør det, vil den udefra kommende vel altid
få præsenteret den fortolkede kode (sikkert et HTML-output) og dermed ikke den rå php-kode men
nærmere resultatet af den rå kode?
Jeg har selv tænkt over problemet men nåede frem til ovenstående så ret mig endelig hvis jeg tager
fejl.
