Защита PHP файла

Есть скрипт который берет данные из ГЕТ запроса и сохраняет запрос в отдельный файл
Например index.php?id=bla-bla
можно ли через команду гет заставить удалить самого себя и если да то как можно это запретить

 

Ну, если bla-bla - это имя файла, то конечно проблемы вам обеспечены и не только с index.php

 

нет это просто данные , место бла бла будет имя и скрипт индекс.пхп сохранить этот гет запрос

 

Честно говоря, не совсем понятно что делает скрипт. Но, если исходить из того, что эти данные сохраняются в файл, а потом просматриваются через веб-интерфейс, то можно:

1. Передать в данные XSS.
2. Если сохраненный файл затем подключается директивами include или require и их производными, то можно передать исполняемый код php, который при выполнении вышеуказанных директив выполнится.

Защита от:
1-го варианта: один из способов показ содержимого на странице через применение встроенной функции htmlspecialchars().
2-го варианта: исключение подключения файла в виде исполняемого (через include или require и т.п.). И при получении содержимого файла производить фильтрацию контента.