Dennis: &sicherheit

Beitrag lesen

Hi Ashura,

Oder aber man lässt überprüfen, ob die mittels $_GET-Parameter ermittelte Resource auch tatsächlich im DOCUMENT_ROOT oder einem anderen im Skript spezifizierten Verzeichnis liegt.

Dann ließen sich aber immer noch Dateien einbinden, die für so etwas eigentlich gar nicht gedacht waren. Eventuell könnte man hier auch wieder „auf die Fresse fliegen”, false file_exists bei allow_url_fopen true zurückgibt, wenn die Ressource auf einem anderen Server existiert. Müsste man mal ausprobieren.

MfG, Dennis.

--
Mein SelfCode: ie:{ fl:( br:> va:) ls:[ fo:) rl:( n4:# ss:) de:] js:| ch:{ sh:| mo:} zu:|
Mit Gesetzen ist es wie mit Würstchen - es ist besser, wenn man nicht weiß, wie sie gemacht werden. (Otto v. Bismarck)