Hallo!

Dann ließen sich aber immer noch Dateien einbinden, die für so etwas eigentlich gar nicht gedacht waren. Eventuell könnte man hier auch wieder „auf die Fresse fliegen”, false file_exists bei allow_url_fopen true zurückgibt, wenn die Ressource auf einem anderen Server existiert. Müsste man mal ausprobieren.

Oder einfach (englisches) Manual lesen: "As of PHP 5.0.0 this function can also be used with some URL wrappers."

Was besseres als eine gute Whitelist gibt es nicht. Und sonst - egal was man im Parameter erwartet - immer noch basename() verwenden, und einen absoluten Pfad voranstellen.

Grüße
Andreas