Hallo,

Sagen wir, es gibt dann jemand im guten Fall http://deine.domain/dateiname.php?link=http://www.boeseseite.de/boeserinhalt.html an, dann ist der OP aufgeschmissen, wenn er dann vielleicht auch noch so etwas wie "delete from $db ..." eingibt, dann hat der OP, oder sein Kunde eventuell ein sehr viel  größeres Problem.

Deiner völlig fehlgehenteten Annahme, das mein Code diese Probleme aufweisen würde und eine Sicherheitslücke auftut, entnehme ich, daß Du die erstmal einen Kaffee machen gehen wirst, um wach zu werden.

Verwenden von Variablen in includes ohne diese vorher zu verifizieren, oder aus einer "erlaubten" Liste gegen zu checken ist Entwicklerwahnsinn und sollte keinem empfohlen werden!

Genau das geschieht auch in meinem Script. Es wird die Variable $_GET['link'] gegen eine Liste geprüft und _zusätzlich_ sogar nur indirekt (als Schlüssen eines Datenfeldes) genutzt.

Gruß aus Berlin!
eddi

--
PHP: PHP unter Linux installieren, in Bearbeitung PHP Konfigurieren