Hallo Palme,
Sofern Du die Pfadangaben nicht weiter prüfst: ja.

Wie ist das gemwint, sorry, aber ich bin noch kein Experte!

Er könnte z.B.
http://localhost/dirk/index.php?verweis=/etc/passwd

oder unter Windows:
http://localhost/dirk/index.php?verweis=C:/autoexec.bat

(so als Beispiel)

Das heißt also, er kann sich wie in diesem Fall z.B. irgendwelche Dateien auf meinem Rechner ansehen? .. müssen diese aber nicht erst über die Webfreigabe freigeschaltet sein?

Erstens: Hänge den Pfad immer an das aktuelle Verzeichnis, in dem das Scritp liegt (dirname(__FILE__)) an, und prüfe desweiteren, ob die Zeichenkette .. darin vorkommt. Wenn das der Fall ist, dann verweigere den Zugriff. (Am besten mit "nicht gefunden" oder so) Außerdem solltest Du natürlich prüfen, ob die Datei existiert.

Ich verstehe nur Bahnhof! Tschuldigung!

Grüße

Palme