Hello,

index.php?site=url_des_fremdscriptes

einsetzen und schon ist der frende Code aktiv auf dem Server. Von nun an gehört der Server im Rahmen der PHP-Möglichkeiten dem Hacker. Und die sind vielfältig!

Ui...reicht eine Püfung a la

if ( file_exists($_GET["site"] . ".php") ) {

zur Einschränkung aus oder liefert sie bei einer fremden, gefährlichen PHP Dateien ebenfalls true?

Man würde das besser immer statisch übersetzen, also nur Zugriffe auf erlaubte includes ermöglichen, und zwar mit einer statischen Tabellen.

Dazu muss das Schlüsselwort (der Wert) in der URL ja auch nicht denselben Wortlaut haben, wie der Dateiname.

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg