Hallo Sven, @Matthias Scharwies

Die Idee krankt grundsätzlich an der Tatsache, dass reale Verzeichnispfade "nur" mit Stringoperationen bearbeitet werden.

Die korrekte Vorgehensweise wäre, mit realpath() das Dateisystem zu befragen, auf welchem absoluten Pfad man mit der relativen (oder auch absoluten) Angabe man landet, und danach zu prüfen, ob dieses Ergebnis den Präfix des auszuliefernden Verzeichnisses hat (beispielsweise innerhalb von DOCUMENT_ROOT liegt) - andernfalls nichts ausliefern.

Dann müsste man – je nach Webserver – immer noch auf die .hta-Dateien achten, außerdem erlaubt nicht jeder Hoster Verzeichnisse außerhalb des Document-Roots.

M. M. n. wäre das ein Fall für einen Artikel(-teil) im Wiki, z. B. unter dem Begriff Sicherheit von Webapllikationen.

Gruß
Julius