Hallo,

für die von dir gewählte methode ist aktives register_globals erforderlich - es ist anzunehmen, dass du das nicht nur an dieser stelle so machst - das ist der knackpunkt der gefährlichkeit (sprich, die paar zeilen sind nich das eigentliche problem) - du solltest dich auch bei LX' variante von register_globals trennen und variablen immer von dort holen, wo sie herkommen

zudem müsste es in deinem fall wohl if(file_exists()) heissen, das ! davor ist denke ich nicht förderlich ;)

file_exists() sorgt zwar dafür, dass keine Dateien über die url-Wrapper eingebunden werden können, schützt aber nicht davor, dass das Skript völlig ungesichert jede beliebige Datei, die es lesen kann, auch einbinden kann. Das ist *keine* gute Idee.

Stattdessen sollte es ein assoziatives Array an erlaubten Dateien geben. Der GET-Parameter wird als Schlüssel verwendet; die Arraywerte sind die Pfade zu den erlaubten Dateien. Somit ist gesorgt, dass nur erlaubte Dateien eingebunden werden können.

Freundliche Grüße

Vinzenz