Zitat von
Florian H:
Würde ich in der Form sowieso nicht verwenden ... es dürfte nicht lange dauern, bis jemand auf Ideen "?file=../config.inc.php" oder "?file=../
db.inc.php" (wie auch immer die Dateien heißen) kommt - wenn dann der Server nicht sicher konfiguriert ist (kein Zugriff auf .inc*-Dateien) oder das Script anderweitig doof ist, kommt man schnell an Config-Dateien oder
DB-Zugangsdaten ...
Sagen wirs so: damit die Datei eingebunden werden kann, muss PHP sie lesen koennen. In dem Fall kann man die Datei auch ueber readfile() auslesen. Am geschicktesten ist es, die Sache ueber eine ID zu loesen, und nicht den Dateinamen zu uebergeben.
Greetz
alcaeus