Okay danke, das mit $_SERVER['PHP_SELF'] habe ich verstanden. Werde zukünftig $_SERVER['SCRIPT_NAME'] verwenden.
Wichtiger ist aber ja, dass ich das, was darüber (evt. manipuliert) reinkommt, kontrolliere. Mache ich bei Zahlen-Parametern mit
PHP-Code:
$id = intval($_GET['id']);
Bei sonstigem string mit Prüfung durch eine Whitelist bzw.
PHP-Code:
$string = strip_tags($_GET['string']);
Meint ihr, das ist sicher?
@Ckaos
Der Bildupload ist nur im geschützten CMS-Bereich; da habe ich die Übersicht über die Bildnamen. Aber du hast Recht - ich sollte das überschreiben noch ausschließen.