Moin,

mein erstes Sicherheitsproblem hatte ich gleich zu Anfang meines Einstiegs in die Webentwicklung:

/cgi-bin/index.cgi?file=phone.html

wobei doch die Idee gar nicht mal so schlecht war, Inhalte beliebiger Dateien im Browser auszugeben und Header, Footer automatisch einzubauen. Aber so einfach wie die Idee war dann auch die Lösung zur Sicherheitsfrage:

/cgi-bin/index.cgi?file=1

und ideenreich die Fehlermeldung zum Versuch, sich eine nichtkonfigurierte Seite ausgeben zu wollen 😉

Tipp: Parameter ziehen Hacker magisch an, also so sparsam wie möglich verwenden und das was konfigurierbar ist, raus aus der Parameterliste. Und guck daß auch bei etwaigen Fehlermeldungen nicht allzuviele Informationen im Browser landen, bspw. abolute Pfadangaben. VG