Moin!

willkommen zum Tag des Dokumentations-Links. ;)

http://www.php.net/manual/de/function.include.php
http://www.php.net/manual/de/function.require.php

Zu beachten ist: Wenn die zu includierende Datei per URL angegeben wird, dann ist zwingend dieser Wert sorgsamst zu parsen. Das Include wirkt nämlich nicht nur auf das lokale Dateisystem, sondern öffnet ggf. auch Dateien per HTTP. Auf diese Weise kann man sich beliebigen fremden Code in die eigene Seite einbauen lassen, welcher dann im Prinzip alles tun kann: Die PHP-Skripte und Verzeichnisse listen, die Datenbankanbindung erfahren, die Datenbank löschen, die ganze Website löschen oder "anpassen".

Dieses Verhalten kann man z.B. ganz grundsätzlich abschalten, indem die "URL fopen wrappers" deaktiviert werden.

- Sven Rautenberg