Jag får hudutslag när jag ser kod som ditt "includesystem"... Varför göra samma kontroller massor av gånger?
Likvärdigt:
Kod:
if (isset($_GET['p'])) {
if (file_exists($_GET['p'] . ".php")) {
include($_GET['p'] . ".php");
}
else {
echo "<b>" . $_GET['p'] . ".php doesn't exist</b>";
}
}
else {
include('start.php');
}
och mer lättförståligt.
Det som gör scriptet osäkert är väl möjligheten att via URLen inkludera filer utanför www-roten. Det positiva är väl att det bara går att hitta php-filer på det sättet.