**Hinweise: (Fortsetzung)** Im Falle, dass die Datei nicht existiert (prüfen mit `file_exists();`) oder der Zugriff nicht erlaubt ist (prüfen mit `is_readable();`), solltest Du ~~~php header( 'HTTP/1.0 404 Not Found' ); echo '<html><h1>Not Not Found</h1></html>'; ~~~ senden. Natürlich kannst das auch unterscheiden und, falls nicht lesbar, mit einem 403er ("Forbidden") reagieren. aber dann lieferst Du einem Angreifer schon wieder zu viele Informationen. Der erfährt dann nämlich, dass eine Datei mit einem bestimmten Name überhaupt vorhanden ist. Das ist regelmäßig höchst unklug. **Korrektur:** **Falsch:** > Das Verzeichnis mit dem PDF muss vom Webserver betreten und gelesen werden können. (`chmod 755 <DIR>` oder `chmod a+rw <DIR>`) **Richtig:** Das Verzeichnis mit dem PDF muss vom Webserver betreten und gelesen werden können. (`chmod 755 <DIR>` oder `chmod a+rx <DIR>`)

**Hinweise: (Fortsetzung)** Im Falle, dass die Datei nicht existiert (prüfen mit `file_exists();`) oder der Zugriff nicht erlaubt ist (prüfen mit `is_readable();`), solltest Du ~~~php header( 'HTTP/1.0 404 Not Found' ); echo '<html><h1>Not Not Found</h1></html>'; ~~~ senden. Natürlich kannst das auch unterscheiden und, falls nicht lesbar, mit einem 403er ("Forbidden") reagieren. aber dann lieferst Du einem Angreifer schon wieder zu viele Informationen. Der erfährt dann nämlich, dass eine Datei mit einem bestimmten Name überhaupt vorhanden ist. Das ist regelmäßig höchst unklug. **Korrektur:** **Falsch:** Das Verzeichnis mit dem PDF muss vom Webserver betreten und gelesen werden können. (`chmod 755 <DIR>` oder `chmod a+rw <DIR>`) **Richtig:** Das Verzeichnis mit dem PDF muss vom Webserver betreten und gelesen werden können. (`chmod 755 <DIR>` oder `chmod a+rx <DIR>`)

**Hinweise: (Fortsetzung)** Im Falle, dass die Datei nicht existiert (prüfen mit `file_exists();`) oder der Zugriff nicht erlaubt ist (prüfen mit `is_readable();`), solltest Du ~~~php header( 'HTTP/1.0 404 Not Found' ); echo '<html><h1>Not Not Found</h1></html>'; ~~~ senden. Natürlich kannst das auch unterscheiden und, falls nicht lesbar, mit einem 403er ("Forbidden") reagieren. aber dann lieferst Du einem Angreifer schon wieder zu viele Informationen. Der erfährt dann nämlich, dass eine Datei mit einem bestimmten Name überhaupt vorhanden ist. Das ist regelmäßig höchst unklug.

**Hinweise: (Fortsetzung)** Im Falle, dass die Datei nicht existiert (prüfen mit `file_exists();`) oder, wenn der Zugriff nicht erlaubt ist (prüfen mit `is_readable();`) solltest Du ~~~php header( 'HTTP/1.0 404 Not Found' ); echo '<html><h1>Not Not Found</h1></html>'; ~~~ senden. Natürlich kannst das auch unterscheiden und mit einem 403er ("Forbidden") reagieren. aber dann lieferst Du einem Angreifer schon wieder zu viele Informationen. Der erfährt dann nämlich, dass eine Datei mit einem bestimmten Name überhaupt vorhanden ist. Das ist regelmäßig höchst unklug.