Einzelnen Beitrag anzeigen

Florian H

Registriert seit: 30. Mär 2003
Ort: Mühlacker
1.043 Beiträge
 
Delphi 6 Professional
 
#5

Re: [PHP] HEADER Downloadweiterleiter einer Datei

  Alt 6. Mär 2009, 22:06
Zitat von alcaeus:
Zitat von Florian H:
Würde ich in der Form sowieso nicht verwenden ... es dürfte nicht lange dauern, bis jemand auf Ideen "?file=../config.inc.php" oder "?file=../db.inc.php" (wie auch immer die Dateien heißen) kommt - wenn dann der Server nicht sicher konfiguriert ist (kein Zugriff auf .inc*-Dateien) oder das Script anderweitig doof ist, kommt man schnell an Config-Dateien oder DB-Zugangsdaten ...
Sagen wirs so: damit die Datei eingebunden werden kann, muss PHP sie lesen koennen.
Hast recht, da hab' ich völlig falsch gedacht...
Also entweder ID oder eine sichere Parameter-Prüfung (z.b. nur [\.a-zA-Z0-9_-] als erlaubte Zeichen) - ersteres ist aber schöner und sicherer.
Florian Heft
  Mit Zitat antworten Zitat