Hallo Andavos,

Ich mein, wenn jemand in Adminmenü kommt, könnte er dann dort alle Dateien löschen?
wenn einer in das Adminmenü kommt, und dort angeben kann, welche Datei eingebunden werden kann, dann kann er u.U. alle Dateien löschen, ja.
Und wie geht sowas? Ich kann mir das irgendwie nicht vorstellen.

wenn man als Pfad auf die einzubindende Datei eine ganze url angibt (also z.B. http://www.example.com/boessesscript.txt) wird diese Datei (je nach Einstellung von allow_url_fopen) eingebunden, und wenn diese Datei den Code zum löschen von Dateien oder zum ändern der Datenbank enthält, wird das auch gemacht.

Und gibt es einen schutz davor?

schreib den Dateinamen doch einfach direkt in die php-Datei (so dass der Dateiname/-pfad nur in der Datei geändert werden kann, und nicht über ein Formular) - aber für was soll die Datei überhaupt gut sein?

Grüße aus Nürnberg
Tobias

ps: Danke fürs Zitieren :-)