Hello,

include $section[$_GET['section']];

Die direkte Übernahme von POST- oder GET-Parametern in ein Include() solltest Du dringend unterlassen. Das kann man prima benutzten, um Deinen Server zu manipulieren. WEnn nun auch noch die fopen-wrappers  erlaubt sind  http://de.php.net/manual/en/filesystem.configuration.php#ini.allow-url-fopen, dann steht dem Angreifer Tür und Tor offen.

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg