Hallo Forum,

ich habe folgende Situation: mein CMS bekommt per Get-Parameter ($target) eine Zieldatei übermittelt. Diese Datei wird zuerst von meinem CMS verarbeitet und dann per eval() ausgegeben.

Problem dabei ist natürlich die mangelnde Sicherheit: man kann dem CMS den Parameter vorgaukeln und bekommt auf diese Weise Zugriff auf alle freigegebenen Ordner des Servers.

Zuerst wollte ich daher mit einer Whitelist arbeiten, aber das wird denke ich auf Dauer zu aufwendig.
Gibt es nicht einen Weg, zu verhindern, daß der User dem Request ein weiteres $target anhängt oder dies zumindest zu erkennen?

Gruß,
KonRad -