[php] download erzwingen

[Ernesto Gimenez]

Hallo Arne,

> Ich möchte gar nicht daran denken, welche Dateien man sich da noch alles
> runterladen kann, wenn ich "index.htm" beispielsweise durch "/etc/..."
> ersetze.

auf /etc/ kommt man nicht, weil man nicht zugangsberechtigt ist.

> Du solltest also _dringend_ in Deinem Skript überprüfen, was der User denn
> da gerade downloaden will. Im Optimalfall übermittelst Du in der URL nur IDs
> und legst im Skript die Zuordnung zwischen den IDs und zugehörigen Dateien
> fest.

Das ist wirklich ein richtig guter Tipp. Ich hatte noch im Hinterkopf das zu
verbessern, aber ich hatte die Sicherheitslücke noch nicht ausprobiert wird bald
behoben.

Ciao

Ernesto