Hello,

Meinst du das was ich denke? Wenn ja, dann hat das Programm noch ganz andere Probleme... Es ist ein Scheunentor für böswillige Zeitgenossen, wenn man URL-Parameter als Argument für include-verwendet.

Wahrscheinlich schon.
Einige haben dann mit den Funktionen dirnname() und basename() schon mal "relative Sicherheit" geschaffen. Die funktioniert natürlich nur, wenn die Funktionen auch _immer_ wie erwartet funktionieren. Deshalb oben meine Frage zu glob(). Unterbindet das _immer_ die .ht-Dateien und -Verzeichnisse?

Harzliche Grüße aus http://www.annerschbarrich.de

Tom