Eine sehr "schöne" Lücke ist das, denn damit kann man sonstwohin springen lassen. Zum einen ist es nicht notwendig, $_GET["page"] nach $pg umzukopieren.

mach ich aber ;)
»»Zum anderen wäre es sinnvoll, vor dem Springen das in $_GET["page"] übergebene gegen eine Liste erlaubter Werte zu prüfen. Obendrein verlangt die Spezifikation, dass beim Location-Header eine vollständige URL anzugeben sei.

ich habe bis jetzt keine seiten die da nicht benutzt werden sollen.
und wer so doof ist und da 'index eingibt' .....

und wieso sollte ich eine komplette URL eingeben wenns auch ohne geht?!?