Hallo Regina,

Tatsächlich. Jemand möge Dir ein Plus geben.

Lieber dem Sven, der hats gesehen.

Wäre diesem Angriffsvector denn dann durch

$forbidden=array('//', '../', '/..', '/.ht');

zu begegnen?

Ich würde hier lieber auf Nummer sicher gehen und die relativen Elemente auflösen und dann erst prüfen, ob der Pfad erlaubt ist. Stichwort realpath.

LG,
CK