user.ini - Auslesen mit .php?id=

Verstehe deine Frage mit dem Namen nicht...

$_GET['name']

Eher so:

<?php
$ini = file_get_contents($_GET['name'] . ".ini");
echo '<img src="./ucp/skin/Skin_' . $ini['Skin'] . '.jpg" alt="Skin" />';
?>

Du musst auch in deine ini schauen wie deine Skins bzw wie sie definiert werden (SkinID = 123 zbsp.)

Lebensgefährlich!

Bedenke immer: Alle Eingaben die vom User kommen, > müssen < escaped werden!

Hast du nämlich eine Datenbankabfrage oder sonstige Systemkritische Funktionen,
dann kann jemand ungehindert Schadcode ausführen.

Sei es XSS, Injection und und und.

Daher:

Wenn du eine Mysqlverbindung vor dem $_GET/$_POST Parameter hast,

dann nutze: mysql_real_escape_string($_GET["bla"]);

Wenn du keine hast, dann kannst du zb:

http://php.net/manual/de/function.htmlentities.php
http://www.php.net/manual/de/function.htmlspecialchars.php
http://php.net/manual/de/function.str-replace.php
oder http://php.net/manual/de/function.preg-replace.php

nutzen.

Das ist egal! Die Variable ist ja offen für Usereingaben!

Wenn du zb.

include("bla.php?id=224");

hast,

dann kann jemand einfach: "http://bla.de/bla.php?id=<IMG SRC="javascript:alert('XSS');">"

ausführen etc!

Es ist doch keine Arbeit Jung, das ebend schnell zu escapen.

Gerne.

Hast du eine MYSQL Verbindung bei deinem Script ?

Wenn ja, dann einfach vor der $GET Variable folgendes setzen:

mysql_real_escape_string();

Beispiel:

mysql_real_escape_string($GET['id']);

Wenn du keine Mysql Verbindung hast, dann am besten mit StrReplace die eingabe "ersetzen".
Es gibt aber noch andere diverse Funktionen dafür.

http://php.net/manual/de/function.str-replace.php

Hier was nützliches: http://www.rooftopsolutions.nl…h-no-connection-available
http://code.google.com/p/php-antixss/

Genau

Ich empfehle dir aber trotzdem mysql_real_escape_string.
Dafür benötigst du aber eine MYSQL Verbindung.

Du könntest den Zugriff auf deine Datei auch einschränken etc.
Aber das sind nur Workarounds.