Исходное сообщение
"Уязвимость, позволяющая удалённо выполнить код на сервере PH..." Отправлено пох, 30-Авг-18 08:24
> Для безопасного вызова внешних бинарников есть семейство функций exec*, которые позволяют не > заботится об экранировании вообще и решить проблему принципиально обалдеть. Нет, дружище, это не решение проблемы. Это признание твоего неумения программировать, и перекладывание ее решения на других. Причем оно закрывает один узкий сегмент этой уязвимости, оставляя все остальные нараспашку, да еще и при ложной уверенности что ты сделал все правильно и можно уже не проверять данные из внешних источников. Молодец, так держать. И нет, надо не экранировать, а фильтровать. P.S. до кучи, еще один такой же звоночек - использование sn/strn вместо s/str - в надежде что уж тут-то буфер точно не переполнится.