Hello,

include $section[$_GET['section']];

Die direkte Übernahme von POST- oder GET-Parametern in ein Include() solltest Du dringend unterlassen. Das kann man prima benutzten, um Deinen Server zu manipulieren. WEnn nun auch noch die fopen-wrappers  erlaubt sind  http://de.php.net/manual/en/filesystem.configuration.php#ini.allow-url-fopen, dann steht dem Angreifer Tür und Tor offen.

Zu Deiner Ehrenrettung...

So, wie Du es jetzt gemacht hast, also über den GET-Parameter aus einem Wertevorrat auszuwählen, bannt diese Gefahr natürlich. Ich hätte die Brille also vorher aufsetzen müssen.

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg