Hello,

Was soll an einem einfachen include('inhalt.datei') gefährlich sein?
Ich kann mir keinen Fall vorstellen, wo ich damit Gefahren heraufbeschwöre, wobei ich zugeben muss, daß es vieles gibt, was ich mir nicht vorstellen kann. :-)

Wenn Du die Dateien, die Du includest selbst geschreiben hast und sie auch immer brav dort ablegst, wo kein User etwas uploaden kann, dann magst Du Recht haben. Aber gerade in Verbindung mit Upload-Scripten habe ich schon wilde Sachen gesehen. Vorhin erst wieder.

In vielen Fällen werden dann includes, die dem User namentlich bekannt sind, zur Falle. Textdateien werden z.B gerne included, obwohl sie keinen Fitzel PHP enthalten. Da kann ich dann anstelle dieser Textdatei auch eine mit PHP-Code unterbringen. Die kann ja sogar heißen wie sie will.

Liebe Grüße aus http://www.braunschweig.de

Tom