Über google habe ich rausgefundeästebuch wohl seinen Uhrsprung im PHPForum hat.
Ich weis jetzt nicht in wie weit Du das dortige Script abgewandelt hast, es liegt aber die Vermutung nahe, das in einer der früheren Versionen eine Post-Variable nicht richtig geprüft wurde und somit bei Anzeige durch den PHP-Interpreter gelaufen ist.

Über include wird die Seite von einem externen Server geladen. Vorausgesetzt, die Variablen (insbesondere für DB zugriffe) sind dann noch die gleichen wie im "original quelltext" ist es nicht weiter verwunderlich, daß jemand in Deine Tabelle schreiben kann.

Bitte nicht wundern, ich habe Testweise einen Eintrag in Dein Gästebuch gepostet. Du kannst Ihn ja mal freischalten, wenn dann irgendwo beim Betrachten des Gästebuches der Pfad zum Script auftaucht hast Du die Lücke gefunden (eine Veriable wird Interpretiert) ansonsten bitte den Eintrag Löschen .


Gruß
Martin