په کتابتون کې
کتابتون د CMS TYPO3 جوړونکو لخوا رامینځته شوی، مګر د Drupal او Joomla پروژو کې هم کارول کیږي، کوم چې دوی هم د زیان منونکو پیښو لپاره حساس کوي. مسله په ریلیزونو کې ټاکل شوې
په عملي اړخ کې، په PharStreamWapper کې یو زیانمنتیا د Drupal Core کارونکي ته اجازه ورکوي چې د 'Administer theme' اجازې سره یو ناوړه phar فایل اپلوډ کړي او د دې لامل شي چې په دې کې موجود PHP کوډ د قانوني phar آرشیف په څیر اجرا شي. په یاد ولرئ چې د "Phar deserialization" برید جوهر دا دی چې کله د PHP فنکشن فایل_exists() بار شوي مرستې فایلونه چیک کوي ، دا فنکشن په اوتومات ډول د Phar فایلونو (PHP آرشیف) څخه میټاډاټا غیر منظم کوي کله چې د "phar://" سره پیل شوي لارې پروسس کوي. . دا ممکنه ده چې د phar فایل د عکس په توګه انتقال کړئ، ځکه چې د file_exists() فنکشن د منځپانګې په واسطه د MIME ډول ټاکي، نه د توسیع په واسطه.
سرچینه: opennet.ru