Hello,

<a href='zeigbilder.php?ordner=ferien'>link</a> Gern aber die Ordner auch nicht im klartext, sondern

kodiert, was du dann in deiner Zieldatei wieder aufschluesseln musst. (switch)

Die Verzeichnisse im Klartext zu übergeben und dann NICHT mehr zu kontrollieren, würde schon wieder eine Sicherheitslücke für das System bedeuten. Wenn dem Script dann nämlich ein gefälschter Verzeichnisnahme übergeben werden würde, würde es vermutlich auch damit arbeiten. Ob das "sinnvoll" wäre, kann man ohne Kenntnis des Scriptes natürlich nicht sagen, aber man sollte bedenken, dass das Script alle Rechte auf DATEISYSTEMebene hat und nicht, wie der normale Client, nur auf HTTP-REQUESTebene.

Es ist also quasi schon eingedrungen in das System.

Um Alex noch eine andere Variante zu nennen:
Du könntest auch, damit die Parameter nicht so offensichtlich sind, mit Path-Info arbeiten, wenn Dein Webserver ein Apache ist und diese Option nicht ausgeschaltet wurde.

<a href='zeigbilder.php/ferien'>

wäre dann der Hyperlink und abfragen kannst Du über $_SERVER['PATH_INFO'] genau den Wert 'ferien'.

Musst Du einfach mal ausprobieren.

Noch ein Tipp: Wenn man das System offen halten will, also Klartext übergeben dürfen will, dann kannst Du in alle Verzeichnisse, die angezeigt werden dürfen, eine bestimmte (versteckte) Datei legen. Wenn die dann vorhanden ist, darf das Script sich aus dem Verzeichnis bedienen, wenn nicht, gibt's auf die Finger. Du musst dann allerdings dafür sorgen, dass niemand unberechtigtes diese Datei ins Verzeichnis schmuggeln kann, also z.B. bei Uploadmöglichkeit immer genau prüfen, was da kommt.

Liebe Grüße

Tom vom Berg