Zitat:
Original geschrieben von feuervogel
achso, e, ja, ich erinner mich...der vollständigkeitshalber: 'e' steht für execute, damit wird der ersatz als ausdruck betrachtet.
|
Ich erlaube mir da anzumerken, daß e und eval() böse sind, wenn ungeprüfte Userstrings durch den Parser geschickt werden. Die vorhandenen Hintertürchen sollten eher abgedichtet als neue eingebaut werden.
Der letzte bekannt gewordene phpBB Bug basierte ua. darauf, daß Userdaten ungeprüft zum Parser geschickt wurden.