PHP-вопрос

[DogEater]

Список у тебя на винте есть всегда.
Можно входящую строку проверить на слеши и сделать if fileexist()
А можно сделать list папки и сравнить поэлементно массив с входной строкой.
И так, и так никакая инъекция не пройдёт.

Ну да. Цифры в полученной переменной могут быть всего лишь номером(ключом) массива из имён файлов(см glob()). Сначала отдаёшь номер элемента массива, содержащего имя файла в ссылку, а при запросе по номеру подгружаешь контент по имени из этого элемента.
Куда уж безопаснее.
Вот так делаем ссылку:

Код:

<?php
$files=glob ($config['incpath']."/files/*jp*");
    foreach ($files as $file){
        print "<a href=".$SERVER['SCRIPT_NAME']."?id=".$id++.">Файл No $id</a>\n";
    }
?>

Вот так формируем ответ:
Напрямую снаружи ничего не берётся. Только подкидывай фалы в папку(если *nix - регистр в имени файла учитывается).

Код:

<?php
$files=glob ($config['incpath']."/files/*jp*");
if (preg_match ("/(\d+)/",$_GET['id'],$id)){
    if (is_file($files[$id[1]]))
        include($files[$id[1]].".htm");
    }
else {
    if (is_file("1.htm"))
        include("1.htm");
}
?>