>> Если в сишке это system()
> использую popen. но есть подозрения что кто-то сможет передать программе данные через
> пайп. Надо удалить, или переписать на безопастном (с).В system() проблема в том что если програмер лох, атакующему который контролирует ввод легко срубить текущую команду - и донавесить своих внагрузку. Зафильтровать можно, но лучше взять за правило никогда не вызывать system() с данными контролируемыми внешним миром. Это почти как шелл внешнему миру вывесить.
А eval().. я как-то посмотрел сорц bitmessage, там жуткое спагетти и вот это. Я решил что такой сблюв я юзать не бу. Чутье не подвело - через полгодика кто-то подтвердил что таки - бэкдор это.