Klappt aber nicht !

Such mal im Archiv nach register_globals!

Und mach das niemals so:

<?include($luli."php");?>

Du bindest hier einfach was ein, ohne zu checken, was der User da übergibt. Indem ich bei sowas jetzt ein wenig rumspiele und verschiedene Werte an den URL anhänge, kann ich dort einbinden lassen, was ich will.
Möglicherweise kommte ich so an Passwort-Dateien oder anderes ran...

Außerdem sollte da wohl noch ein Punkt mehr hin: include($luli.".php");