Zitat von
faux:
OK, daran denke ich schon mal garnichtmehr, ich gehe immer davon aus, dann das aus ist.
Schoen waers, traurige Wahrheit ist, dass es bei den meisten Hostern an ist, und der 0815-PHPler keinen Plan hat was es ist.
Zitat von
faux:
Naja, aber die Variable durch
$site = preg_replace('/[\\\\\/.:]*/', '', $site); jagen, ist sicherlich kein Fehler.
Noch eine Stufe besser: explizit sagen was erlaubt ist:
Code:
$site = (isset($_GET['site'])) ? $_GET['site'] : '';
$allowed_sites = array('main', 'contact', 'foo', 'bar');
if (!in_array($site, $allowed_sites))
{
$site = 'main';
}
include('./'. $site .'.php');
Und schon gibts keinen Weg mehr, da RFI zu betreiben. So einfach kanns sein, ich versteh sowieso nicht, wie man eine Seite darauf aufbauen kann, die einzubindende Datei ueber die
URL festlegen zu lassen. Nichts fuer ungut, aber echt
Greetz
alcaeus