Guten Nachmittag,

Zu beachten ist: Wenn die zu includierende Datei per URL angegeben wird, dann ist zwingend dieser Wert sorgsamst zu parsen. Das Include wirkt nämlich nicht nur auf das lokale Dateisystem, sondern öffnet ggf. auch Dateien per HTTP. Auf diese Weise kann man sich beliebigen fremden Code in die eigene Seite einbauen lassen, welcher dann im Prinzip alles tun kann: Die PHP-Skripte und Verzeichnisse listen, die Datenbankanbindung erfahren, die Datenbank löschen, die ganze Website löschen oder "anpassen".

Völlig korrekt. Einfachste Lösung scheint mir zu sein, die URLs in ein assoziatives Array zu packen und mit ordentlicher Fehlerbehandlung als Parameter nur den Index in das Array zu übergeben. Damit können nur vorgegebene URLs aufgerufen werden.

Gruss aus der prallen Sonne, Thoralf