Zitat von
sarte:
Über get erhalte ich dann den Namen der Datei:
Delphi-Quellcode:
<?php
[...]
$file = 'prog/'; //Pfad der Datei
$file .= $_GET['prog']; // z.b. hallo.rar
// Dateityp
header( 'Content-type: application/octet-stream' );
// Größe der Datei
header( 'Content-Length: ' . filesize( $file ) );
// Dateiname
$dateiname = basename( $file );
header( 'Content-Disposition: attachment; filename="' . $dateiname . '"' );
// Ausgeben der Datei
readfile( $file );
}
Würde ich in der Form sowieso nicht verwenden ... es dürfte nicht lange dauern, bis jemand auf Ideen "?file=../config.inc.php" oder "?file=../
db.inc.php" (wie auch immer die Dateien heißen) kommt - wenn dann der Server nicht sicher konfiguriert ist (kein Zugriff auf .inc*-Dateien) oder das Script anderweitig doof ist, kommt man schnell an Config-Dateien oder
DB-Zugangsdaten ...