Hallo,

Wie sieht es denn aus, wenn ein User mit einem Downloadmanager versucht eine .php-Datei zu downloaden? Kommt er so an den PHP-Code?

Nein, es wird auch nur der generierte HTML-Code erhalten. Solange der PHP-Interpreter nicht ausfaellt, kommt man nicht an den PHP-Code.

Wenn ja, wäre das ja eine ziemliche Sicherheitslücke... er weiss dann genau den Aufbau eines Login-Systems und könnte entsprechende Variablen manuell per GET der Seite zufügen.

Login-Daten oder DB-Verbindungsinformationen, die z. B. per include() eingebunden werden, sollten generell nicht unterhalb von DocumentRoot sondern in von auszen unzugaenglichen Verzeichnissen gelagert werden.

MfG, Thomas