Mailinglisten-Archive |
Lutz Zetzsche wrote: > Hi Sebastian, > > Am Donnerstag, 23. Juni 2005 09:21 schrieb Sebastian Mendel: >> Steffen Kother wrote: >> probiers doch mal mit: Anschreiben.php?rekl=xx&file=/Anschreiben.doc >> >> entweder direkt im Link beim Aufruf, oder REDIRECT auf dein >> >> 'Anschreiben.php?rekl=xx&file=/' . str_replace('|', '', >> $Daten['##REKLAMATION##']).'_Anschreiben.doc' >> >> und dann dort erst die Datei senden > > Parameter, die an eine PHP-Seite übergeben werden, sollten ja ohnehin > immer sorgfältig geprüft werden, trotzdem sicherheitshalber eine kleine > Ergänzung: > > Wenn ein Pfad in der URL übergeben wird, sollte er bei der Übernahme > besonders sorgfältig geprüft werden, damit nicht plötzlich aufgrund > einer Manipulation des Übergabeparameters Dateien ausgeliefert werden, > die dafür nicht bestimmt sind (z.B. eine .htaccess-Datei mit > Passwörtern). der Pfad hat doch gar keine Funktion, sondern dient nur dem IE als Dateiname - wird also von PHP gar nicht ausgewertet, verwendet oder sonstwas -- Sebastian Mendel www.sebastianmendel.de www.sf.net/projects/phpdatetime | www.sf.net/projects/phptimesheet
php::bar PHP Wiki - Listenarchive