Wenn sich am Ende ../Bilder/Fotos/Web_klein/../../../irgendwoanders ergibt, jemand also in $_GET['o'] ein ../../../irgendwoanders abgelegt hat, wird effektiv der Inhalt von ../irgendwoanders ausgelesen. Natürlich muss das einen existierenden Pfad ergeben, aber das kann man durch Probieren herausfinden. Wenn der Angreifer dann auch noch die Fehlermeldung und damit den Pfad zum Script angezeigt bekommt, kann er sogar noch das Probieren etwas abkürzen.

Ich muss also ne Funktion finden, die "/" verbietet beim übergeben.
Richtig?
Was hat derjenige den im "schlimmsten Fall" davon, dass er
die Verzeichnisse auslesen kann? Kann er auch die Zugangsdaten
von MySQL-Datenbanken auslesen, wenn er die Datei findet?
Homepage besser erstmal wieder offline nehmen oder betroffene
Seiten per .htaccess schützen?
Oder "no risk no fun? ;-)

Eventuell müsstest du noch ein strtolower() oder strtoupper() auf $bild anwenden, um es dann mit einem klein oder groß geschriebenen thumbs.db zu vergleichen, da Unix im Gegensatz zu Windows Unterschiede in der Schreibweise beachtet.

Da muss ich mich erst wieder einlesen. Aber danke für die Tipps.

Manno man. Jedesmal, wenn ich denke, ich bin mit irgend
was fertig kommt wieder irgendwas.

zwerg Alex