Hallo Palme,

ich glaube mich erinnern zu können, dass hier im Forum mal jemand was davon gesagt hat, dass wenn ich Pfadangaben in einem Link mit übergebe, dies unsicher sei, da sonst irgendjemand mein Verzeichnis oder auch Dateien einsehen könne, die ihn überhaupt nicht's angehen.

Sofern Du die Pfadangaben nicht weiter prüfst: ja.

Man sieht ja dann den Inhalt der Variablen in der Adressleiste des Browsers bzw. in der Statusleiste.

Exakt.

Beispielsweise so:
http://localhost/dirk/index.php?verweis=./altb_energ/balkon.php

Was genau kann ein "unbefugter" jetzt mit dieser Information anfangen, wenn er möchte?

Er könnte z.B.
http://localhost/dirk/index.php?verweis=/etc/passwd

oder unter Windows:
http://localhost/dirk/index.php?verweis=C:/autoexec.bat

(so als Beispiel)

Wie kann ich das sonst noch lösen?

Erstens: Hänge den Pfad immer an das aktuelle Verzeichnis, in dem das Scritp liegt (dirname(__FILE__)) an, und prüfe desweiteren, ob die Zeichenkette .. darin vorkommt. Wenn das der Fall ist, dann verweigere den Zugriff. (Am besten mit "nicht gefunden" oder so) Außerdem solltest Du natürlich prüfen, ob die Datei existiert.

PS:Ich frage jetzt erst genauer nach, da ich damals noch nicht so weit mit PHP war!

Besser spät als nie...

Grüße,

Christian