Hi,
dem User den includepath anzuvertrauen halte ich für grob fahrlässig
Wenn der nun index.php?loc=../../../../../etc/passwd aufruft?
Definier lieber ne Tabelle mit allen möglichen sicheren Includepaths und überprüfe die dann, zb so:
Code:
$valid_paths = array("index","news","content","guestbook");
$valid = false;
foreach ($valid_paths as $vp)
if ($vp == $_GET['loc']) // das erspart dir die (unsichere) Einstellung register_globals = on
$valid = true;
if (!$valid) // Hier evtl noch um einen Logeintrag ergänzen, falls du von solchen Versuchen was mitbekommen willst
Die("Dies ist kein gueltiger Pfad!");
include($loc.".php");
cu