Cita:
Iniciado por Fridureiks Una pregunta con respecto a este codigo... que pasa si le paso por GET el valor de un archivo php cualquiera que este en el servidor? Estaria bajandome el codigo fuente de un arhcivo del sitio, es correcto/posible?
Así es ..
DEBES validar que archivo bajas .. Lo normal es usar "identificadores" que a su vez apuntan a archivos .. Y si tienes (por fuerza mayor) tener que indicar un archivo (nombre completo) a descargar debes validar que no te hagan un ../ (subir por la estructura de directorios) .. o limitar por tipo de extensión del archivo (para no permitir descargar .php por ejemplo ...)
Un saludo,