Форум PHP

http://www.softtime.ru/forum/read.php?id_forum=1&id_theme=5325&page=2
В теме поднят вопрос о защите $_GETпараметра

<?      // Здесь можно и нужно добавить код, проверяющий      // содержимое переменной $_GET["file"]      // Вдруг вам хакер или просто любопытствующий туда      // что-нибудь не то передаст     $filename = $_GET["file"];

Нельзя рассказать по-подробней?

Тут надо вам подстраиваться как-то ...
В $_GET["file"], как я понимаю, должно находиться имя картинки, которую нужно масштабировать. Вот смотря где у вас лежат картинки, какие у них (и у папок, к ним ведущим) могут быть имена, так нужно обработать.
Например, если скрипт лежит в той же папке, что и картинка, то в имени картинки не должно быть " / " ... если картинки, относительно скрипта, лежат в папке " images/ ", то надо посмотреть, чтобы именно с этого и начиналась переданная строка, и чтобы дальше были только разрешенные в именах файлов символы (опять же чтобы " / " не было ... и конечно же " ../ " )

Но даже если и не делать никаких проверок, то самое страшное что может произойти - кто-то масштабирует не ту картинку, что надо :)

кругом хакеры, становишься параноиком:)

Через url строку можно сделать sql-инъекцию или php-инклудинг, так что проверять эти данные надо обязательно!

..... если данные из этой url строки заносятся в БД .....

А нельзя ли поподробней, в данном случае, этот файл создает уменьшеные копии, т.е. на ленте новостей идет ссылка на файл

imgresize.php?file=$img

$img - ссылается на запись в БД,, но фотка лежит в папке foto

А что может содержаться в $img ?
Если в БД записано имя картинки, то можно было бы ссылаться к ней по ее идентификатору (числовому). Тогда было бы просто обработать $img убрав из нее все кроме цифр.