Hello,

Dann überlege dir mal, was ein oder mehrere ../ im "Bildnamen" bewirken könnten.
... es sei denn es gäbe eine Möglichkeit in den String so etwas wie einen Dateinamens-Trennzeichen einzuschmuggeln, so dass man plötzlich zwei Dateien anspricht...

http://bla.de/blubb/show.php?bild=../../../mein_boeses_script.php&pseudo=1234

Jetzt klar?

Das wird wohl nicht so funktionieren, da am & der nächste Parameter abgetrennt wird.
Aber wenn Du ein Leerzeichen oder ein # in den Parameter einbaust, dann könntest Du (leider) Erfolg haben.

Außerdem ist ja nicht besprochen, was die fopen-Wrapper anrichten könnten.

Harzliche Grüße vom Berg
http://www.annerschbarrich.de

Tom

--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau