Ist der Datei-Name in der URI als Parameter sicher zu verwenden?

unter gewissen Voraussetzungen...
Beispielsweise solltest als Parameter nur das Dateiprefix angeben, z.B. "home", das machts nicht so offensichtlich. Ausserdem solltest überprüfen dass übergebene Dateinamen nur aus Buchstaben, Ziffern und "_" bestehen dürfen.
Dann kannst du gefahrlos die Datei wie "includes/".$parameter.".php" includen.

Wie bekomme ich den Datei-Namen?
Mit dem, was ich bisher in Manuals gefunden habe, HTTP_HOST bekomme ich nur meinen Rechner-Namen.

$_GET['parametername'] ist hier das richtige.

greetz RFZ