Originariamente inviato da filippo.toso
Ammettiamo che il tuo sito permetta l'upload di file da parte dell'utente. Con un codice come il tuo, sarebbe possibile hackerare il sito facilmente, è sufficiente caricare uno script PHP e poi passare un path tipo ../../../upload_folder/mio_file_php
Ci ho pensato, ma innanzitutto funzionerebbe anche con il tuo metodo senza il controllo sull'azione, e poi in genere nell'upload dei file controllo l'estensione.

Per funzionare una cosa del genere dovrei permettere di inserire file senza estensione.

Comunque è una buona obiezione, e vedrò di correggere il mio codice (non si è mai abbastanza sicuri).



edit

Comunque pensandoci, basta mettere

require(DIR.basename($_GET['action']).'.inc.php');

ciao