Hallo,

In Datei get_image.php: $file="../../bilder/".$_GET["bild"];

da gehören unbedingt noch ein paar Sicherheitsmaßnahmen dazu!! So wie es im Moment dasteht, kann jeder beliebige Nutzer jede Datei herunterladen, auf die der Webserver zugreifen kann. Wie wär's damit:

get_img.php?bild=%2Ehtaccess

So bekomme ich deine .htaccess-Datei und kann mir in Ruhe ansehen, was du da eingestellt hast.

get_img.php?bild=/etc/fstab

Damit bekomme ich eine zentrale Konfigurationsdatei des Betriebssystems, unter dem der Webserver läuft, und kann mir anschauen, was für Dateisysteme da gemountet sind und welche fürs weitere Stochern interessant sein könnten. Ob's mir nützt? Vermutlich nicht, aber ich hoffe, du erkennst die Gefahr.

Im Quelltext erscheint genau dieses img-Tag. Klickt man darauf kommt Kauderwelsch, unleserliches Zeug! Super!

Dieses Kauderwelsch wird zu einem Bild, wenn du dem Browser auch noch mitteilst, dass es eins ist. Sende dazu als erste Anweisung im Script den Content-Type-Header image/jpeg.

Den Bildnamen werde ich auch noch verschleiern.

Wozu?

Diese Lösung zusammen mit einer .htaccess sollte den Laden dichtmachen, oder?

Ja, aber mit den eingangs erwähnten gravierenden Mängeln.

Einen schönen Tag noch
 Martin