Hallo,

Hallo,

ich möchte in einem intranet eine rss-feed option anbieten. dazu lese ich bisher die feeds mittels $rss_stream = simplexml_load_file($rss_streamurl); ein und gebe den inhalt der rss aus. da der nutzer die $rss_streamurl selbst festlegen kann, wollte ich fragen ob hier (ja oder nein) sicherheitsvorkehrungen getroffen werden sollten und wenn ja an welche ihr gedacht habt?

Lege doch ein Array mit den validen Urls an und test mit in_array() ob die gefragte Url eine erlaubte ist. Ansonsten könnte jemand u.U. etwas auslesen, was du nicht willst. Du kannst aber auch die in Frage kommenden Files in ein Directory packen und erzielst so den selben Effekt. Es wird ja kein Code ausgeführt.

Gruß

jobo