Hi!

ich habe bis jetzt keine seiten die da nicht benutzt werden sollen.

Es geht nicht darum - um beim Tür-Vergleich zu bleiben -, dass du deine Wohnung wie von dir vorgesehen nutzt, sondern darum dass kein anderer sie für seine Zwecke missbrauchen kann.

Es geht also nicht so sehr um die Seiten, die du auf deinem Host nicht benutzt haben willst, sondern um die externen Ziele, die man deinem Script einfach so unterschieben kann, wenn man es nicht absichert.

und wer so doof ist und da 'index eingibt' .....

Es gibt genügend, die die "Doofheit" Einiger für ihre Zwecke auszunutzen wissen, um sich an andere Doofen zu bereichern, die in die präparierte Falle getappt sind.

und wieso sollte ich eine komplette URL eingeben wenns auch ohne geht?!?

Zusammen mit deiner Nicht-Prüfung ist das eben eine Lücke, die für beliebige Ziele verwendet werden kann. Wenn du zwar die Prüfung wegließest, aber eine vollständige URL zusammengabaut hättest, wären die Sprungziele wenigstens schon mal auf deine Domain begrenzt gewesen und hätten im Zweifelsfall einen 404 ergeben. So aber kann man den Anwender, der einen Link zu deinem harmlosen Angebot klickt, sonstwohin schicken.

Lo!