[supersaibal]Originariamente inviato da skidx
Codice PHP:
$pagina $_GET['sezione'] . '/inc_' $_GET['pagina'] . '.php'
A me non sembra tanto sicuro, basta passare un url in sezione, invece che in pagina.
[/supersaibal]
hai ragione.. crosssite... non ci avevo pensato!

Ecco... un ottimo esempio di una cosa che si dice sempre: non bisogna pensare a cosa impedire, ma a cosa consentire.. ed essere il più restrittivi possibili