nicht angemeldet
Moin
Aufruf:
http://www.xyz.de/index.php?site=index oder so...
Wenn ich nun aber ausversehen
http://www.xyz.de/index.php?site=inrex (statt index) eingebe,
Und bitte, bitte verwende _nie_ so etwas:
<?php
include($site.".php");
?>
Unter Umständen, findet ein Angreifer dann nämlich unter http://www.xyz.de/index.php?site=.htpasswd%00 deine Passwortliste oder kann auf ähnliche Weise fast jede beliebige Datei auf der Festplatte auslesen. Selbst wenn du eine neuere PHP-Version ohne dieses Feature hast, kann er immernoch jede beliebige PHP-Datei ausführen...
--
Henryk Plötz
Grüße von der Ostsee