Door Anoniem: Door Anoniem:https://website.example?ip=localhost%3Fdel%20%2A%2E%2A%20%2F%53 gedecodeerd: https://website.example?ip=localhost&del *.* /S ping localhost&del *.* /S dat zijn twee opdrachten: ping localhost del *.* /S Dat ziet eruit alsof system() een command shell gebruikt om het commando uit te voeren. Dat staat zo te zien niet met zoveel woorden in de documentatie van system() [1], maar er is wel een waarschuwing dat je escapeshellarg() of escapeshellcmd() moet gebruiken om ellende te voorkomen, dus dat bevestigt het gebruik van een shell of van een ingebouwde commandline-ontleding met soortgelijke risico's. Ik heb in de documentatie verwijzingen gevolgd naar alternatieve manieren om commando's uit te voeren, en zo te zien is bij alle varianten het commando een string en moet je als programmeur zorgen dat je een van de genoemde escape-functies aanroept om ze veilig(er) te maken. Wat me verbaast is dat er niet (zoals bijvoorbeeld in Python) een variant is waar het commando en argumenten als ...