Hi!

was ist denn das Problem?

Ich denke, die Beispiele in meinem verlinkten Artikel verdeutlichen das Problem prinzipiell. Ansonsten hört das Problem in deinem Fall auf den Namen XSS (Cross Site Scripting). Im Datenbankumfeld beispielsweise nennt es sich SQL-Injection.

HTML verlangt, dass unter anderem ein < als &lt; geschrieben wird, damit es nicht als Tag-Beginn erkannt wird. Wenn du es zulässt, dass ein übergebenes < genau so in deinem HTML-Code landet, steht auch einem <script ... nichts im Wege. Das ermöglicht, dass Anwender über diese deine Lücke und etwas darüber eingeschleustes Javascript zum Beispiel auf Seiten mit für sie potentiell schädlichem Inhalt umgeleitet werden können.

Das Problem ist ungefähr so, als ob du eine Tür (mit Klinke auf beiden Seiten) unabgeschlossen lässt. Du kannst mit einfacher Klinkenbetätigung bequem hindurchgehen - somit funktioniert sie ja aus deiner Sicht wie gewünscht. Das potentiell Problematische daran erkennst du sicher selbst.

Lo!

jo.
ich prüfe mit php eigentlich nur ob z.B. $page nicht eingegeben wurde und wenn doch wird mit $page und noch nen '.php' daran diese seite aufgerufen

$pg = $_GET["page"];
if($pg != "")
  header('location: ',$pg);
else
  header('location: index1.php');

oder so ähnlich