Hi Daniel,

Erkläre warum das http://www.eine_Seite.de/?show=index gut bzw. nicht gut ist.
was auf jedenfall ein nachteil ist, das ganze läuft über $_GET und das kann man "faken" $_POST wäre besser.

$_GET['show'] scheint hier in einem Kontext genutzt zu werden, dass durch show übermittelt wird, welche Seite angezeigt wird - dann ist POST _definitiv nicht_ besser, da der User sich bei POST keine Seite mehr bookmarken könnte.

Unabhängig davon hat dir wahsaga ja schon gesagt, dass man $_POST Daten genauso "faken" kann.

Auch Argumente wie "Der User kann nicht sehen, was für Variablen übermittelt werden" gelten nicht, denn z.B. mit LiveHTTPHeaders für FF oder ein Blick in den Quellcode hilft da dem User sofort weiter.

Ein weiteres Sicherheitsrisiko besteht darin, wenn die index.php so aussieht:

include $_GET['show'];

Dann lässt sich jede beliebige Datei auf dem Server (auf die das Script Zugriff hat) anzeigen, auch ein . ".php" hinter $_GET hilft da nicht weiter.

MfG, Dennis.