Hallo Felix,

Dann müsste man – je nach Webserver – immer noch auf die .hta-Dateien achten, außerdem erlaubt nicht jeder Hoster Verzeichnisse außerhalb des Document-Roots.

in solchen Fällen ist ein Dialog mit dem Serverbetreiber ohnehin unerlässlich, da dieser das Sicherheitskonzept zu verantworten hat. Das lässt sich nicht durch einen Wiki-Artikel hier ersetzen.

Oh, ich sehe gerade, dass ich beim letzten Post Mist gebaut habe: Ich wollte eigentlich ausdrücken, dass ich die Traversal-Lücke im Wiki mit ein paar Beispiellösungen und deren Problemen bzw. Stolperstricken (u. a. ob im Webroot schützenswerte Dokumente liegen, wie eben .hta und php-Dateien mit Datenbankzugangsdaten) behandeln, bzw. dafür sensibilisieren wollte und keinesfalls erschöpfend, wie man die realpath-Lösung richtig implementiert.

Gruß
Julius