Lieber johannes,

wenn Du den Pfad zum zu inkludierenden Script variabel hälst, dann musst Du sicherstellen, dass in der entsprechenden Variable auch nur das stehen kann, was Du auch dafür vorgesehen hast.

// Sicher, weil fest vorgegeben:  
$script = 'scripts/mein_script.php';  
include ($script);  
  
// grob fahrlässig:  
$script = $_GET['include_pfad'];  
include ($script);  
  
// so geht es schon eher:  
$erlaubte_scripts = array(  
    'scripts/navi.php',  
    'fehler.php',  
    'gaestebuch/gb.php'  
);  
$script = false;  
if (in_array($_GET['include_pfad'], $erlaubte_scripts)  
    include ($_GET['include_pfad']);  
  
// das ist auch sicher:  
$scripte = array(  
    '1' => 'scripts/navi.php',  
    '2' => 'fehler.php',  
    '3' => 'gaestebuch/gb.php'  
);  
if (array_key_exists($_GET['include_pfad'], $scripte))  
    include($scripte[$_GET['include_pfad']]);

Hoffentlich ist das alles jetzt auch in Ordnung so...

Liebe Grüße aus Ellwangen,

Felix Riesterer.