Der Dialog ermöglicht die Auswahl eines Verzeichnisses aus dem Filesystem des Servers. Es kann ein Root-Verzeichnis mitgegeben werden, hinter das der Benutzer auch nicht zurückkommt.
Eine solche Auswahlfunktion auf dem Server ist potentiell gefährlich, weil sich der Benutzer durch direkte Aufrufe des Dialogs Zutritt zu Verzeichnissen verschaffen könnte, die außerhalb des ihm zugestandenen Navigationsbereiches liegen.
Das heißt, die Aufrufwerte dürfen nicht über die URL übermittelt werden. Andererseits ist eine Übergabe mit der POST-Methode natürlich nicht möglich, da der Aufruf ja mittels Javascript erfolgt. Deshalb wird zunächst ein anderes PHP-Script mit URL-Wertübergabe aufgerufen. Dieses Script schreibt die Daten in die Session und ruft dann den eigentlichen Auswahldialog auf. Da dieses Zwischenscript keine Ausgabe hat, sind die Werte für den Benutzer auch nicht in der Adresszeile zu sehen.
Wichtig dabei ist, dass der Benutzer den Namen des Zwischenscripts nicht kennt. Sie sollten daher in Ihrer Anwendung den Namen „rks-diropen-hidden.php“ einschließlich dem Aufruf in der „auswahl.js“ unbedingt ändern. Sorgen Sie dafür, dass „rks-diropen-hidden.php“ nicht mehr existiert, sonst wären damit weiterhin unkontrollierte Aufrufe möglich.
Sie benützen dieses Script grundsätzlich auf eigene Gefahr.
