Hellihello Saanve,

na wenn ich habe mein_script.php?seite=seite3

und ich Script dann schlicht schreibe:

include ($_GET['seite]), dann könnte eine fremde Resource eingebunden werden, wenn die Servereinstellungen das nicht verhindern.

Solange alles im System passiert, und nix von aussen via Forms ungecheckt eingebunden wird, kommt ja keiner an Dein System ran, und wer nicht rankommt, kann nicht manipulieren, wenn er nicht FTP-Zugang o-ä. hätte.

ich verwende ein xtcommerce Shopsystem und möchte im Contentbereich HTML-Seiten mit php include Anweisungen darstellen. Hierzu gibt es im Backend des Shopsystems einen sog. Contentmanager mit dem man HTML-Seiten in den jeweiligen Content-Bereich laden kann.

Mit: <?php include("/ordner/textdatei.txt"); ?> lade ich den Content (Text) an die entsprechende Stelle in dem HTML-Dokument. Die Textdateien befinden sich in einem Unterordner. Soweit funktioniert auch alles wunderbar.

Nur wie sieht es mit der Sicherheit aus?

Ich habe des öfteren von 'Risiken' in Verbindung mit der include-Anweisung gelesen. Leider kenne ich mich mit PHP zu wenig aus um beurteilen zu können, ob diese Vorgehensweise 'sicher' ist?!

Ich wäre sehr dankbar wenn mir jemand sagen könnte ob diese Art den Content einzubinden evtl. 'gefährlich' ist bzw. wie die Anweisung aussehen sollte, damit diese kein Risiko darstellt.

Dank und Gruß,

frankx