Hoi,

Also, ich kenne eine PHP Seite, die bastelt das Seiten-Layout mit
einem PHP-Skript, den jeweiligen Inhalt der Seite kann man per
Parameter angeben. Dieser Parameter sollte eigentlich auf eine
lokale Seite zeigen, aber entfernte URLs gehen auch

Der fdopen-Wrapper schlaegt zu ;-)

• damit kann man beliebigen PHP-Code mit den Rechten der PHP-Seite
  ausführen lassen... tja... seit einigen Tagen stehen merkwürdige
  Nachrichten in den News dieser Seite...

Darum sage ich, man muss *alle* Parameter validieren.

Gruesse aus dem schoenen LH,
 c.j.k