Zitat von
ferby:
Zitat:
du prüfst die parameter nicht. über pathtraversal kann ich zumindest fehler erzeugen.
was hat jemand davon die parameter zu ändern?
Wenn jemand in der
Url herumpfuscht dann is er doch selbst schuld...
Das ist aber bei jeder Internetseite so, änder ich etwas in der
Url stimmmt sie nicht mehr.
Ja, sie stimmt nur nicht mehr. Aber:
Ich schreibe eine PHP-Datei, deren Aufgabe z.B. eine großangelegte Spam-Versendung ist. Diese hänge ich nun an deinen Content an, und sie wird ausgeführt. Nur ein Beispiel von vielen, wie man das mißbrauchen kann (es geht theoretisch [und praktisch] auch eine
mySQL-Injection). Und genau deswegen sollte geprüft werden, ob die Variable "braucbar" ist.
^^Ich hatte das Problem mit dem Spam bei meiner Seite auch mal (wurde dann von meinem Provider informiert), bis ich die Includede-Variable "abgesichert" habe.