Hi Tom,

Ein eval() mit einem Datenwert aus der DB ist doch nicht gefährlicher als ein include() mit einer Datei von der lokalen Platte. Warum sollte er also die Finger davon lassen?

Wenn die Datenbank auch von außen abrufbar ist (und nicht nur über localhost), dann kann man die Daten in der DB ändern, ohne unmittelbaren Zugriff auf das Filesystem des Servers bekommen zu haben. Ferner sind Änderungen an den Dateien auf dem Filesystem doch leichter festzustellen als Manipulationen in der Datenbank, bei Dateien solltest du i.d.R. ja immer sehen, wann die zuletzt geändert wurden.

Außerdem würde ich sagen, dass Daten in einer Datenbank "dank" SQL-Injections leichter zu manipulieren sind, als Daten auf dem Filesystem - dafür bräuchte man nämlich schon einen FTP oder SSH Zugriff. Dagegen gibt es leider immer wieder schlecht programmierte Scripte, die nicht ordentlich mysql_real_escape_string() verwenden.

MfG, Dennis.