Tweet
PHP-Code:
<?
if(preg_match("#\\.\\.#",$HTTP_GET_VARS[site]) // alles was auf höhere Verzeichnisse zugreift
|| substr($HTTP_GET_VARS['site'],0,1)=="/" // alles was auf doc-root zugreift
|| strpos($HTTP_GET_VARS['site'],"://") // alles was Scripte von anderen Servern includet
|| !isset($HTTP_GET_VARS['site']) // keine Seite übergeben
|| !$HTTP_GET_VARS['site'] // übergebene Seite ist leer
|| !file_exists($HTTP_GET_VARS['site']) // Datei gibt es nicht
)
{
$HTTP_GET_VARS['site']="deine_Datei.php";
}
include_once($HTTP_GET_VARS['site']);
?>
Diese Script ist nur um erstmal das Sicherheitsloch zuschließen. Es ist keine entgültige Sicherheit.