Visot che hai '/inc_' in mezzo.. anche modificando la querystring non possono includere nulla che non abbia "inc_" ... quindi è abbastanza sicuroCodice PHP:
if (isset($_GET['pagina']) && isset($_GET['sezione']))
{
$pagina = $_GET['sezione'] . '/inc_' . $_GET['pagina'] . '.php';
}
![]()