Hallo,

#if($id == null || $id == "")
       #{
       #  $file = DATAPATH . "001" . ".php";
       #  include $file;
       #}
       #else
       #{
       #  $file = DATAPATH . $id . ".php";
       #  include $file;
       #}
Wo ist da die Lücke?

Das kann man aus dem Stück Code nicht ersehen. Woher kommt $id? Was wurde vorher damit gemacht? Fragen über Fragen ;-)).

Wenn in der Konstante DATAPATH z.B. "myscript" drinsteht und $id daraufhin überprüft wurde, dass nur "002", "003" oder "004" drin stehen darf, dann ist da überhaupt keine Lücke.

Abgesehen von "register_globals = on"

Das erkennst Du woran? Am Stück Code ist es nicht zu erkennen.

viele Grüße

Axel