hi,

if(!isset($_REQUEST['iframe_target']))
$seite = "/sites/display.php";
          else
$seite = $_REQUEST['iframe_target'];
?>
   <iframe name="iframe" id="iframe" src="<?php echo $seite; ?>" width="329" height="255" frameborder="0" scrolling="no">

allerdings wurde das objekt nicht gefunden.

Dann ist der Pfad wohl falsch.
Also schau in den erzeugten HTML-Code, was dort steht.

2.) könnte man auch das bild direkt zuweisen oder muss es eine webseite sein?

Wenn du mit dem Default-Rand und der Default-Hintergrundfarbe um das Bild herum leben kannst ...

was du mit xss attacke meinst, frage ich lieber garnicht erst. bin jetzt schon verwirrt genug. sollen sich die script-kiddies ruhig austoben. bei mir ist nix zu holen. und der server wird vom hoster gesichert.

XSS macht ggf. auch die Besucher deiner Seite zu Opfern.

gruß,
wahsaga