Weiß ja nicht wie der BitBucket und Filehoster oder was auch immer funktioniert aber wenn dass mit file=filename oder pic=bild.jpg geht und keine ordentlichen Vorkehrungen getroffen sind dass man sich net mit file=../../ rumbewegen kann dann ist das des Rätsels lösung
Ein Ansatz wäre bei bei den Bildern bei der Ausgabe mal mit
PHP-Code:
$is_image = @getImageSize($picture);
if(!$is_image) {
exit;
}
zu checken ob es sich tatsächlich um ein Bild handelt.
Damit kann er sich zwar in den Verzeichnissen bewegen bekommt aber nur Bilder ausgegeben!