I fixed a reverse path search bug via ".__." in JAGS. Now it checks if the requested file lays in the served root folder via realpath() instead of just dump replacing "__" and ".." via str_replace.
Thanks goes to Tyler Spivey (@tspivey:matrix.org via Matrix) for pointing me on this one.
Ein kleiner Bug, der dazu geführt hat, dass man mittels ".__." den Dateien außerhalb des Serverroots aufrufen konnte musste gefixt werden.
Man sollte immer "realpath()" anstelle von str_replace() verwenden, damit man nicht den Verzeichnisbaum hochtesten kann...
Danke fürs drauf aufmerksam machen Tyler Spivey (@tspivey:matrix.org via Matrix).