hi $name,

Allerdings mit einem ungeprüften Wert, deshalb der Hinweis auf dirname oder basename.
nicht wirklich, der pfad ist fest vorgegeben in der config.php.

So so. Gestern wurde $language_file noch folgendermaßen initialisiert:

$language_file = $path . $_REQUEST['language'] . '.php';

Und da kann ich über den Parameter language beliebige Pfadangaben einschleusen und mit einigen Sonderzeichen auch auf unbeabsichtige Pfaden wandeln.

öh, kleines mistverständniss. ich dachte du beziehst dich mit pfad auf den inhalt von $path. ja, stimmt das mit dem parameter ist das problem. dummerweise funktioniert der switch nicht, da fliegen mir die fehlermeldungen um die ohren :-( .

also zurück zu basename :-) oder vorher abfragen ob der parameter language einen erlaubten wert enthält und falls nicht einen zuweisen?

gruss
shadow