Tach!

Das PHP-Skript könnte beispielsweise so ähnlich aussehen:
[code lang=php]<?php
if(isset($_GET['filename']) && file_exists($_GET['filename'])) {
  header("Content-Type: application/octet-stream");
  header("Content-Disposition: attachment; filename="".$_GET['filename'].""");
  @readfile($_GET['filename']);
  die();
}

Das ist sicherheitstechnisch fehlerhaft, weil es sämtliche lesbare Dateien auf dem Server ausliefern kann. Es fehlt beispielsweise eine Überprüfung, dass der realpath() des Dateinamens mit dem beabsichtigten Download-Verzeichnis beginnt.

dedlfix.