(wobei ich nebenbei bemerkt meine mal gelesen zu haben die include()-func sperrt selbststaendig schon auf zumindest (domain-)fremde seiten.. weisst da was genaueres?)

Das weiß ich nicht, aber ich habe das so gemacht, dass bei mir steht:

$file = 'source/cat/'.$_GET['cat'].'.php';

if (file_exists($file))  {
  include $file;
} else {
  include 'source/base/html/404.php';
}

Ich sehe da keine "Sicherheitslücke", es können ja wohl unabhängig vom Wert in 'cat' nur Dateien aus dem einen Verzeichnis included werden oder?