Moin!

Die Lösung entstammt wohl dem Buch "So besser nicht. Selbstmörder programmieren für Sie schlecht und schmutzig."

<p><a href="test-li.php?li=erster.php" target="_self">erster</a></p>
<p><a href="test-li.php?li=zweiter.php" target="_self">zweiter</a></p>

<?php
if ($li == "")//wenn li leer dann lade run.php

Aha. Damit es funktioniert zuvor die PHP.ini auf unsichere Einstellungen trimmen.
Also wenn überhaupt:

if (!isset($_GET['li'])) {
  include 'run.php' or die ("Die Datei run.php existiert nicht oder Sie haben ungenügende Rechte.");
}

@include("$li");//ansonsten lade $li

Fehler Nr. 3:
Das @ ist dafür da, damit bei der Fehlersuche richtig Probleme entstehen oder was?

?>

Sicherheitsproblem:
Auf fein. Ich nehme das und bastele mir die Links selbst dann kann ich mit test-li.php?li=.htaccess.php die .htacess anschauen und mit
test-li.php?li=.htpasswd die verschlüsselten Passwörter, die ich dann ganz in Ruhe zu hause knacken kann.

DAS IST EIN SICHERHEITSPROBLEM!

MFFG (Mit freundlich- friedfertigem Grinsen)

fastix®