Der Martin: Wie müsste es richtig heißen?

Beitrag lesen

Moin,

Wenn man eine Datei mit PHP-Code einbinden will, dann sollte die Dateiendung immer ".php" lauten.

viel schlauer finde ich es, die Includes in einem Verzeichnis unterzubringen, dessen Inhalt gar nicht über HTTP abrufbar ist. Dann ist nämlich die Namensgebung egal, und man kann die Dateien so nennen, wie es am besten in das eigene Namensschema passt.

Das hat dann zur Folge, daß man den PHP-Code der Datei einsehen kann, was ganz gefährlich werden kann.

Es darf natürlich nie sein, dass der Besucher - und sei es aus Versehen - den PHP-Code zu lesen bekommt. Das verhindert man aber ebensogut, indem man beim Zugriff auf das Include-Verzeichnis grundsätzlich nur einen 403er zurückgibt.

So long,
 Martin

--
Paradox ist, wenn der Innenminister sich äußert und der Außenminister sich erinnert.