Hallo,

Hallo,
was passiert denn wenn man unlink(...) oder exec('rm -r *') einbindet?
Löscht er dann alles?

Und wie siehts mit HTML Dateien only aus?
Also wenn man nur .htm/.html einbinden kann?
Dann sollte das ja rein theo nicht gehn, oder?

MFG
Andavos

Ich hab mal ein kleines Experiment gemacht:

Ich habe auf meinem PC mich mit der Datenbank verbunden.

<?
  mysql_connect("localhost","Andavos","andavos") or die
  ("Keine Verbindung moeglich");
  mysql_select_db("anda") or die ("Die Datenbank existiert nicht");
  ?>

Dann habe ich folgendes include:

<?php
include("http://www.rpgcommunity.de/clanwissen/schleife.php");
?>

schleife.php hat folgenden Inhalt:
<?
  $abfrage = "SELECT id, urlname FROM links";
  $ergebnis = mysql_query($abfrage);
  while($row = mysql_fetch_object($ergebnis))
    {
    echo "$row->id <br>";
    }
  ?>

Ruf ich die Datei jetzt am PC auf, erhalte ich folgendes Ergebnis:

Wenn ich das ohne include mache, dann geht das perfekt.
Wenn ich es mit Include mache, bekommte ich lauter Fehlermeldungen.

Also hat schleife.php nicht die Ausgabe von meiner Datenbank (auf dem PC) preisgegeben.

Das Adminmenü sieht so aus:
Der User gibt eine URL zu einer Datei an. Diese URL wird gespeichert in der Datenbank (die Datei wird aber nicht hochgeladen etc.).

Dann wird später der Eintrag abgefragt, und dann per include(...) wieder ausgegeben.

Wenn jetzt ein PHP Script dateien löschen kann, dann muss der doch rein Theoretisch auf dem gleichem Space wie das Gästebuch liegen, damit er die Dateien löschen kann, oder?
Denn ist es nicht so, das er von fremden Server nur den HTLM Quelltext abfragt und einbindet?

MFG
Andavos