Hi Fabian,

die Vraible $site prüfen,
entweder du suchts darin nach "http://" was ein eindeutiges Zeichen für eine Datei auserhalb deiner Seite sein dürfte, dann darf der include nicht erfolgen.

dann dürfte jawohl
$file = str_replace("http://","",$file);
reichen, oder?

Nicht ganz, denn wenn z.B. ein Angreifer http://www.etwas.com/site.php an deine index.php Anhängt wird sie zwar nicht mehr aufgerufen, aber du erzeugst einen Fehler da er die Datei nicht finden kann. Besser ist es ein Abfrage zu machen ob Http:// drin ist und dann eine Fehlerseite zu includen.

oder, du hinterlegst alle Dateien und URLs die du includen Willst in einem Array und schaust ob $site im array steht.

das ist zuviel arbeit, es sei denn ich hab die includes eh in einer db.

Nö, du kannst ja die Files die in deinen Verzeichnissen stehn dynamisch in ein Array schreiben lassen.

Gruß

ueps