Hallo Henryk,

Danke für die Antwort. Daß Unterverzeichnisse mit entsprechenden "../" umgangen werden können hätte mir eigentlich auch selber einfallen können.

Ich habs aber mal eben online ausprobiert; mit einem hochgradig fahrlässigen Script wie

test.php :

<?php
$files = $_GET['q'];
include ($files);
?>

und diversen Aufrufen

http://domain.de/test.php?q=www.anderedomain.de oder

http://domain.de/test.php?q=http://www.anderedomain.de

etc.

gelang es mir _nicht_ das test.php zur Anzeige von anderen WebSites zu zwingen. Es kamen immer nur php-Fehlermeldungen. Verweise auf Domain-eigene Dateien klappten aber.

Kann es also sein daß der Provider schon von sich aus verhindert das solche Script-Konstruktionen funktionieren? Daß also für "include" nur _lokale_ Dateien erlaubt sind und keine URLs?
(Bin bei Strato, Premium-L-Paket)

Wäre ja schön, dann bräuchte ich mich um nix zu kümmern...Oder hab ich mich zu dämlich angestellt um das Horror-Szenario zu simulieren?

Nicht daß hier falsche Eindrücke entstehen: Ich will solche Angriffe nicht erzeugen sondern mich davor schützen - aber um das zu erreichen müsst ich erst mal wissen wie diese überhaupt funktionieren...

Besten Gruß,

Alfred