Zitat Zitat von Codec
Auf jedenfall sollte man Sachen wie main.php?site=tpl/bla.php verhindern.
Sowas kann ganz einfach zu Sachen wie main.php?site=/etc/passwd - das würde die Password/User Datei von Linux/*NIX/ anzeigen, nicht so toll. :/

Also am besten Dateien die geöffnet werden nicht über die URL laden.
Und bei Usereingaben immer HTML Chars escapen, sonst kann man ganz einfach die Cookies der User (auch vom Admin) auslesen.
Meinst du jetzt Angaben, die gespeichert werden (Gästebücher usw.) oder alle? Wenn alle, wie soll das Admin-Cookie-auslesen da gehen?
Und die Seiten sind eh in einer Datenbank abgespeichert, die werden über index.php?id=1 aufgerufen (und ja, ich habe SQL-Injections vorgebeugt).