Hinweise: (Fortsetzung)

Im Falle, dass die Datei nicht existiert (prüfen mit file_exists();) oder der Zugriff nicht erlaubt ist (prüfen mit is_readable();), solltest Du

header( 'HTTP/1.0 404 Not Found' );
echo '<html><h1>Not Not Found</h1></html>';

senden.

Natürlich kannst das auch unterscheiden und, falls nicht lesbar, mit einem 403er ("Forbidden") reagieren. aber dann lieferst Du einem Angreifer schon wieder zu viele Informationen. Der erfährt dann nämlich, dass eine Datei mit einem bestimmten Name überhaupt vorhanden ist. Das ist regelmäßig höchst unklug.

Korrektur:

Falsch:

Das Verzeichnis mit dem PDF muss vom Webserver betreten und gelesen werden können. (chmod 755 <DIR> oder chmod a+rw <DIR>)

Richtig:

Das Verzeichnis mit dem PDF muss vom Webserver betreten und gelesen werden können. (chmod 755 <DIR> oder chmod a+rx <DIR>)