Hallo!»» Hiho,

<a href="gleicheseite.php?id=bildname.jpg">Link aufs Bild</a>

Haltet ihr das für sinnvoll? Oder sollte der Dateityp nicht mit in der url landen?

Du solltest nur sicherstellen, dass die böswilligen Nutzer mit diesem Script nicht jede beliebige Datei auf deinem Server runterladen können.

Mit dem Script kann der User jede beliebige Datei runterladen, die er sowieso runterladen darf.
Es handelt sich hier um keinen php - include Befehl!

<img src="ordner/<? echo $id ?>" width="100" height="100" border="0"

Selbst, wenn jetzt in $id "../../topsecret/irgendwas.txt" steht, würde das trotzdem noch ganz normal über den Webserver angefordert werden. Das könnte ich auch ohne das PHP Script anfordern.
Und wenn die Webserverwurzel überschritten wird, sagt sowieso der Server: Njet!

Wenn Joker dass genauso implementiert, wie er das geschrieben hat, sehe ich nicht mal ansatzweise ein Sicherheitsproblem. Ich lass mich aber auch gern von etwas anderem überzeugen.

Problematisch wirds, wenn $id mit include eingebunden werden würde. Dann könnte man theoretisch über die Webserverwurzel hinaus aufs komplette System referenzieren, auf das der jeweilige Serveruser unter dem das PHP Skript läuft, zugriff hat.

mfg
  frafu