Tach!

Vielleicht könnte man den Bildnamen vorher noch validieren 😉.

Warum so umständlich? Einfacher und sicherer ist es, statt des Namen eine id als Parameter zu übergeben. Dabei bleiben Pfad/Name intern und unerlaubte Zugriffe auf beliebige Dateien sind via Parameter generell nicht mehr möglich.

Kommt auf die Aufgabenstellung an. Wenn man eine solche Übersetzungsliste von ID zu Dateinamen hat, muss man die pflegen. Jede Änderung am Bestand muss in dieser Liste nachvollzogen werden. Da wäre es einfacher, darauf zu testen, ob der Request im vorgesehenen Verzeichnis bleibt, darin aber beliebig abfragen darf.

dedlfix.