Hallo

<?php

if(isset($_GET['menu_punkt']))
{
include($_GET['menu_punkt'].".php");
}

>   
> Mutig. Was machst du wenn jemand daherkommt und die Seite mit ?menu\_punkt=http://example.com/boesesscript an der URL aufruft? Wenn du Glück hast ist allow\_url\_include ausgeschaltet, andernfalls wird das u.U. schädliche Script geladen und auf deinem Server ausgeführt. Du musst \*unbedingt\* prüfen, ob das was in $\_GET['menu\_punkt'] drinsteht ein "sauberer" Wert ist.  
  
Ein sehr wichtiger Punkt, den du ansprichst. Am einfachsten wäre eine Prüfung gegen ein Array mit den erlaubten Werten und um den übergebenen Wert von der einzubindenden Datei unabhängig zu machen, kommt der String mit dem Pfad auch in das Array.  
  
~~~php
$pfade = array(  
'Menüpunkt 1'=>'/pfad/zur/datei1.php',  
'Menüpunkt 2'=>'/pfad/zur/datei2.php'  
);  
  
if(isset($_GET['menu_punkt']) and array_key_exists($_GET['menu_punkt'],$pfade)) {  
include($pfade[$_GET['menu_punkt']]);  
}

Tschö, Auge