Witajcie!
Pisząc CMS zastanowiłem się nad problemem odczytywania nieautoryzowanych plików przez użytkowników. Jedyny skuteczny sposób który nie ograniczy mi nazewnictwa ani funkcjonalności przedstawiłem poniżej:

[PHP] pobierz, plaintext 
<?php
 define("APATH", "/Users/Grzegorz/Sites/uCMS");
 
 $fake_path = APATH."/../../../../var/";
 echo "Absolute path: ".APATH."<br />";
 echo "Fake path: $fake_path<br />";
 echo "Real-fake path: ".realpath($fake_path)."<br /><br />";
 
 if(realpath($fake_path) == FALSE || !(substr_count(realpath($fake_path), APATH) >= 1))
  {
   echo "<font color='red'><b>Path is NOT safe</b></font>";
  }
  else
  {
   echo "<font color='green'><b>Path is safe</b></font>";
  }
 
?>
[PHP] pobierz, plaintext 

Czy takie rozwiązanie ma jakieś istotne wady? A może któryś z forumowiczów ma lepsze rozwiązanie problemu Local File Include?

Z góry dzięki za pomoc.

http://haxite.org/index.php3?site=artykul&...view&id=792

- to nie jest LFI. Pliki, do których user nie ma praw dostępu (bo nie są np. częścią layoutu) są umieszczone w bezpiecznym folderze, czyli takim, gdzie nie działa php, http ani w ogóle nic, wpisanie ścieżki do tego pliku w przeglądarce spowoduje błąd. O obsłudze plików było wiele tematów i artykułów, wystarczy poczytać.

P.S > To co próbujesz zrobić to nieudolne zamaskowanie ścieżki, takie rzeczy robi się w .htaccess tak, by adres do pliku:
strona.pl/pliki/3456/moj-plik.jpg

Wyglądał faktycznie tak:
strona.pl/index.php?akcja=pliki&id=3456

Pozostaje sprawdzić, czy user ma uprawnienia i jeśli tak, to wysłać mu plik.