@@Gunnar Bittersmann

        href="$subpage['path']"

Na so’n Quatsch. Das sollte heißen:

        href="<?php echo $subpage['path']; ?>"

        <?php echo htmlspecialchars($subpage['title']); ?>

Der Beispielcode ist inkonsistent.

Wenn sichergestellt ist, dass der Inhalt von $subpages vollständig unter Kontrolle der Seitenautoren ist und da keine Daten von außerhalb reinkommen können, dann muss $subpage['title'] nicht durch htmlspecialchars() laufen.

Sollte das jedoch nicht der Fall sein, dann muss auch $subpage['path'] abgesichert werden:

        href="<?php echo htmlspecialchars($subpage['path']); ?>"

🖖 Живіть довго і процвітайте