Zitat von
alcaeus:
Zitat von
Florian H:
Würde ich in der Form sowieso nicht verwenden ... es dürfte nicht lange dauern, bis jemand auf Ideen "?file=../config.inc.php" oder "?file=../
db.inc.php" (wie auch immer die Dateien heißen) kommt - wenn dann der Server nicht sicher konfiguriert ist (kein Zugriff auf .inc*-Dateien) oder das Script anderweitig doof ist, kommt man schnell an Config-Dateien oder
DB-Zugangsdaten ...
Sagen wirs so: damit die Datei eingebunden werden kann, muss PHP sie lesen koennen.
Hast recht, da hab' ich völlig falsch gedacht...
Also entweder ID oder eine sichere Parameter-Prüfung (z.b. nur [\.a-zA-Z0-9_-] als erlaubte Zeichen) - ersteres ist aber schöner und sicherer.