Hello,

aber hoffentlich nicht so stehen lassen?

if (!empty($_GET['preview'])) {

$pfad = "../home/test/".$_GET['preview'].".txt";
   if (file_exists($pfad)) {
      readfile($pfad);
   }
// evtl. weiterer Code
}

  
  
Einen Parameter aus einem Query direkt als Bestandteil eines Pfades einzubinden ermöglicht einem Angreifer alle für PHP lesbaren Dateien des eigenen Dateisystems auszulesen und was viel schlimmer ist, eventuell auch Daten aus anderen Quellen (z.B. per http) einzuschleusen, wenn die Scheme-Wrapper aktiviert sind.  
  
  
  
  
  
Liebe Grüße aus dem schönen Oberharz  
  
  
Tom vom Berg  
![](http://selfhtml.bitworks.de/Virencheck.gif)  
  

-- 
Nur selber lernen macht schlau  
<http://bergpost.annerschbarrich.de>