Hallo,

Hendrik, in deinen Include-Dateien steht kein PHP-Code - aus diesem Grund solltest du aus Sicherheitsgründen nicht include() sondern readfile() verwendne - ersteres führt PHP-Code der in der Include-Datei enthalten ist aus, letzteres gibt einfach nur den Inhalt aus. Die Gefahr ist, dass über Manipulation der Include-Datei Code eingeschleust werden kann und somit zur Ausführung gebracht wird.

guter Hinweis. Ich habe das nicht übersehen - aber solange der Name der eingebundenen Datei als Konstante notiert wird, so wie in Hendriks Beispiel, sehe ich keine Gefahr. Und ebensowenig sehe ich eine Veranlassung, jemand darauf hinzuweisen, dass der Dateiname beim include auch ein dynamischer Ausdruck bzw. eine Variable sein könnte (was ich für eine Konzeptschwäche von PHP halte).
Keine schlafenden Hun^WWebprogrammierer wecken.

Ciao,
 Martin