Aloha ;)

Über die download.php gelangt man NUR in diesen einen Ordner. Oder übersehe ich etwas?

und die darunterliegenden, so wie Du das beschrieben hast.

Alle Dateien, die unter dem gesetzten Wurzelpunkt liegen, sind im Quelltext auslesbar, also auch alle php-Scripte :-O

Wolltest Du das?

Natürlich wollte er das. Lies genauer. Oder was hätten deiner Meinung nach PHP-Skripte außerhalb des document-root zu suchen, wo sich der fragliche Ordner und dessen Unterordner befinden? :P Außerdem ist es ziemlich selbstverständlich, dass in einem extra für download-Dateien angelegten Ordner und dessen Unterordnern nur für Download geeignete Dateien liegen. Zumindest für mich :P

Von daher: Nein, aus meiner Sicht keinerlei Sicherheitslücken und auch ansonsten imho ganz elegant.

Auch brauchbar, wenn man keinen Zugriff außerhalb des document-root hat... man muss sich nur klarmachen, dass in einem download-ordner und dessen unterordnern nur Dateien liegen dürfen, die auch runtergeladen werden sollen...

Ich habe nicht nachgefragt, wie Du das machst, weil ich lange Weile habe,

Ne, sondern weil du den Gedanken nicht zu Ende gedacht hast :P

Grüße,

RIDER

P.S.: Bitte nicht als Angriff verstehen!