phpbar.de logo

Mailinglisten-Archive

[php] File als download ausgeben

[php] File als download ausgeben

Sebastian Mendel lists at sebastianmendel.de
Don Jun 23 10:44:25 CEST 2005


Lutz Zetzsche wrote:
> Hi Sebastian,
> 
> Am Donnerstag, 23. Juni 2005 09:21 schrieb Sebastian Mendel:
>> Steffen Kother wrote:
>> probiers doch mal mit: Anschreiben.php?rekl=xx&file=/Anschreiben.doc
>>
>> entweder direkt im Link beim Aufruf, oder REDIRECT auf dein
>>
>> 'Anschreiben.php?rekl=xx&file=/' . str_replace('|', '',
>> $Daten['##REKLAMATION##']).'_Anschreiben.doc'
>>
>> und dann dort erst die Datei senden
> 
> Parameter, die an eine PHP-Seite übergeben werden, sollten ja ohnehin 
> immer sorgfältig geprüft werden, trotzdem sicherheitshalber eine kleine 
> Ergänzung:
> 
> Wenn ein Pfad in der URL übergeben wird, sollte er bei der Übernahme 
> besonders sorgfältig geprüft werden, damit nicht plötzlich aufgrund 
> einer Manipulation des Übergabeparameters Dateien ausgeliefert werden, 
> die dafür nicht bestimmt sind (z.B. eine .htaccess-Datei mit 
> Passwörtern).

der Pfad hat doch gar keine Funktion, sondern dient nur dem IE als
Dateiname - wird also von PHP gar nicht ausgewertet, verwendet oder sonstwas


-- 
Sebastian Mendel

www.sebastianmendel.de
www.sf.net/projects/phpdatetime | www.sf.net/projects/phptimesheet

php::bar PHP Wiki   -   Listenarchive