
Zitat von
BUG:

Es sollten nie Seiten/Dateien aus Parametern direkt aufgerufen werden,
lieber nochmal die Gültigkeit überprüfen (zB: durch eine
DB) , sonst
Riesensicherheitlücke 
Würde er das ganze per
include,
readfile oä. lösen, würde ich zustimmen, da so wirklich jede Datei auf dem Server, die passende Leserechte hat, ausgelesen werden kann; er benutzt jedoch Frames, da ist es doch egal ob er das Ergebnis "auswertet", wenn das Skript die Seite nicht anzeigt, ruft der "Angreifer" sie eben direkt auf.
btw: Ich würde es auch nicht direkt ausgeben, zumindest basename() oä. sollte benutzt werden.
Grüße
Faux