Hello Ulf,

da das, was Du da machst, sowieso Genickschuss-Code ist (Injection, Dateisystem ist gefährdet), solltest Du nochmal von vorne anfangen. Ich hatte da diese Woche erst auf einen Thread geantwortet, der die Sicherheit von PHP-Code betraf. Da war genau Dein Beispiel beschrieben.

So macht man[tm] das nicht, wenn keine Sicherheitslöcher entstehen sollen. ;-))

Du solltest niemals den Direktzugriff auf ein Dateisystem zulassen, was Du aber machst, wenn Du einen externen Parameter in den Pfad übernimmst.

Die bessere Vorgehensweise wäre es, wenn Du einen Translation-Table dazwischen schaltest. Den kannst Du dann auch mittels eines Scriptes füllen, das aber nicht von außen zur Verfügung stehen muss/sollte.

Harzliche Grüße aus http://www.annerschbarrich.de

Tom