Hallo.

Wie ist das eigentlich wenn jemand /../ benutzt? Also zb ich habe eine index.php und durch die binde ich alle incs und php-code aus einem verzeichnis über dem rootverzeichnis ein. Wenn nun jemand an den Inhalt der index.php rankommt und die namen bzw pfade der includes auslesen kann, dann könnte er doch zb über www.abd.de/.../php/passwort.inc zugreifen oder? ZB wenn php abgestürzt ist. Oder ist da eine Grenze die er nicht durchbrechen kann?

Das kommt auf deine Konfiguration respektive die Rechtevergabe an.
MfG, at