Fabian Hänsel schrieb:
PHP-Script programmiert, welches mittels eines bash-scripts aller 5 Sekunden den aktuell laufenden Song in eine Datenbank einträgt, damit die anderen HP-Betreiber per "view" darauf zugreifen können.
<murmel>Shell-Injection-Attacks sind gefährlich</murmel>
Wie ist das jetzt gemeint? Der Remote-User bekommt durch dieses "view" ausschließlich select-Rechte für dieses eine "view".
Neben den schon genannten Parametern sind Shellskripte auch sehr anfällig für Umgebungsvariablen - sie vertrauen auf so einige davon und lassen sich damit gern zu Unsinn überreden.
Jetzt verstehe ich, neee, so läuft das natürlich nicht.
Das bash-script soll nur das PHP-Script regelmäßig ausführen, welches die Daten selbsttätig sammelt und in die DB schreibt. Sozusagen als Alternative zu einem cron-job, weil cron eben keine Sekunden kennt. Das hat mit den anderen HP-Betreibern gar nix zu tun.
Was die anderen HP-Betreiber bekommen, ist lediglich der Inhalt eines einzigen Feldes. Die zur Verfügung gestellten Zugangsdaten gestatten keinerlei Zugang zu den Scripten, noch zu einer Datenbank-Tabelle, sondern ausschließlich das select-Recht für ein einziges MySQL-view.
Gruß René Thiel (Rennkuckuck) mailto:reti@rennkuckuck.de -- http://rennkuckuck.de - Die Rumänien-Seiten http://rtol.de - Dynamische Webseiten mit PHP, MySQL und CSS