Wenn ich mich nicht irre, ist das aber eine sehr große lücke, wenn du zum Beispiel eine index.php?SEITE=XXX hast und die nicht richtig per Whitelist / Blacklist geprüft ist
Also soll die Datei geschützt werden oder meinst du die Datei eingebunden in einer Webseite?
Sorry, habe Seite 2 halt mal ausgelassen.
Wenn das auf einer Webseite eingebunden ist, und nur gewisse darauf zugriff haben dürfen, kannst du, wenn deine Benutzer in einer Datenbank eingetragen sind, einfach eine Spalte mehr hinzufügen und true und false verwenden.
Und dann auf der Seite mit dem Bild einfach abprüfen, ob der Benutzer ein true oder ein false hat und dann ausgeben.
[/PHP]
ein normaler aufruf sähe jetzt z.b. so aus:
index.php?page=news.html
Wenn ich jetzt aber hinschreibe
index.php?page=…/…/…/…/…/…/…/…/…/etc/passwd
aufrufe, hast du nen problem
dann steht auf deiner seite nämlich alles über dein benutzerkonto und ich kann mich damit, mit etwas geschick, auf deinem root server einloggen.
Ja ich gebe zu, wenn man das so nicht weiter absichert ist es schon etwas beh***ert vom Coder. Aber genau so einen Fehler gab es mal auf dem Portfolie der bekannten Frau Merkel.
nun ja, so arbeiten meine scripte alle nicht. habe (manchmal leider) meinen eigenen (strassenköter-)stil.
bei mir gibt es richtige physikalisch vorhandene dateien die dann jedesmal die header() aus einer includ laden. somit wäre ich raus aus diesem problem.
mal abgesehen davon, müsste der provider das ja auch unterbunden haben, sprich: ich komme bis zu meinem docroot also „webbox123“