hi,

Naja, nicht ganz ;)
Ich hab include($_GET['seite'].'html') geschrieben glaube ich, also müssen die Links ohne Endung sein.

ich hatte mich nicht 1:1 auf dein beispiel bezogen.
ich sagte, wenn du ?seite=test.htm übergibst, hast du in $_GET['seite'] nachher auch "test.htm" drinstehen, und kannst entsprechend reagieren ...

(man sollte eh prüfen _was_ da denn für ne Seite übergeben wird ... nicht daß man alles mögliche includieren kann!)

jepp, ganz ungeprüft ist harakiri.

gibt viele einfache möglichkeiten, z.b. erlaubte seitennamen in ein array packen und mit in_array() abfragen, ob "erlaubt", oder nur dateien aus dem selben verzeichnis zulassen, oder oder oder ...

gruss,
wahsaga