pdf öffnen lassen mit readfile

**h3ll** · 16.11.2013, 11:40

Dir ist aber schon bewusst, dass das eine riesige Sicherheitslücke ist, wenn du GET-Parameter in Dateipfade einfügst?

Davon abgesehen zu deiner Frage:

an inline content-disposition, which means that it should be automatically displayed when the message is displayed, or

an attachment content-disposition, in which case it is not displayed automatically and requires some form of action from the user to open it.

Siehe: MIME - Wikipedia, the free encyclopedia

Ist zwar eine Beschreibung für den Aufbau einer Mail, bedeutet aber bei HTTP das gleiche.

**sanktusm** · 16.11.2013, 12:08

Vielen Dank

Ich habe jetzt attachment rausgenommen und es funktioniert sehr gut.
Für den Hinweis auf die Sicherheitslücke danke ich sehr. Tatsächlich kann man damit ja alle Dateien herunterladen.

**sanktusm** · 16.11.2013, 12:31

Sicherheitslück

Da ich für den Dateiaufruf GET-Parameter brauche, habe ich mir überlegt, ob das vielleicht so sicherer ist.

PHP-Code:



$_SESSION[$file] = $file;                                                  
$_SESSION[$destination] = $destination;

$finfo = new finfo(FILEINFO_MIME);

   $mime_type = $finfo->file('../'.$_SESSION[$_GET['destination']].$_SESSION[$_GET['file']]);
                 
   header("Content-type: ".$mime_type."");
   header("Content-Disposition: ; filename=\"".$_SESSION[$_GET['file']]."\"");

   readfile('../'.$_SESSION[$_GET['destination']].$_SESSION[$_GET['file']]);

Der Dateiaufruf über readfile ist ja da damit man Dateien, die über htaccess geschützt werden abrufen kann, wenn diese freigeben sind. Vielleicht weiß ja jemand eine andere Lösung.

pdf öffnen lassen mit readfile