MrWurf: Bildergalerie.. in dieser Form sinnvoll?

Beitrag lesen

Hi

<a href="gleicheseite.php?id=bildname.jpg">Link aufs Bild</a>
Du solltest nur sicherstellen, dass die böswilligen Nutzer mit diesem Script nicht jede beliebige Datei auf deinem Server runterladen können.

Mit dem Script kann der User jede beliebige Datei runterladen, die er sowieso runterladen darf.
Selbst, wenn jetzt in $id "../../topsecret/irgendwas.txt" steht, würde das trotzdem noch ganz normal über den Webserver angefordert werden. Das könnte ich auch ohne das PHP Script anfordern.

nein, was in id steht, ist erstmal keine Anfrage an den Webserver sondern ein Parameter für das PHP-Script. Und dieses kann sehr wohl Dateien öffnen, die der Webserver nicht sieht.

Und wenn die Webserverwurzel überschritten wird, sagt sowieso der Server: Njet!

...der WS ruft ja nur das PHP auf, der Inhalt des Parameters id ist ihm egal.

Wenn Joker dass genauso implementiert, wie er das geschrieben hat, sehe ich nicht mal ansatzweise ein Sicherheitsproblem. Ich lass mich aber auch gern von etwas anderem überzeugen.

ist hoffentlich geschehen.

Gruß
Wurf