Hello,

Ich habe die Includes in etwa so geladen:

include "/ordner/zum/include/" . $datei . ".php";

Vorher hab ich aus $datei (wird per Get oder Post übergeben) Dinge wie "://" und ".." entfernt, falls vorhanden.

Du "kastrierst" also den Paramter und prüfst dann, ob der zusammengesetzte Pfad auch wirklich existiert, nehme ich mal an? Und dann schaust Du vielleicht noch in einer internen Tabelle (*g*) nach, ob der authentifizierte User dieses Include überhaupt nutzen darf?

Da wäre es dann sicher einfacher, gleich in der Tabelle (in der Datenbank) nachzusehen.
Und welche, die (im Abfrageergebnis) nicht drinstehen, werden eben abgelenht.

Gibt es dann noch Nöglichkeiten, "böse" Dateien einzuschleusen? Wäre natürlich einfacher als eine statische Tabelle, die ja bei  jeder neuen Datei gepflegt werden muss.

Das sollte man ja sowieso tun, wenn Includes durch Benutzersteuerung ausgewählt werden.

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg