[supersaibal]Originariamente inviato da tntgiallo
sembra di essere a telemike, allora ci provo....

allora anche caratteri speciali e percorsi nella variabile id, consente malintenzionato di turno di inserire per esempio config.php e leggersi il classico file di configurazione contenente di solito dati particolari????

ho indovinato? [/supersaibal]
+/- è cosi

se vuoi essere sicuro al 100% puoi estrarre dal database le pagine valide ... ad es dall'elemento "page" leggi un valore ... e dal db estrai il file php corrispondente ... ovviamente premurati di eseguire l'escape di page usando mysql_escape_string prima di passarlo alla query ... questo è il sistema + sicuro ... altrimenti basta che verifichi che il file incluso debba risiedere in una data directory, o per meglio dire che dato file non provi a cambiare directory ))

quindi ...
if (basename($_GET['page']) != $_GET['page']) die('TENTATIVO DI HACKING!!!');

vai a leggere sul manuale php cosa fa basename
www.php.net/basename

))

studia e approfondisci la cosa xche a me tante volte mi è capitato di trovare siti con GRAVISSIME vulnerabilità che potevano compremettere non solo il sito, ma la macchina stessa!