url - variablen - unsichtbar

nein. trotzdem muß du irgendwo hinterlegen, welche parameter erlaubt sind, welche nicht ...
du mußt jeden user-input auf korrektheit überprüfen, selbst irgendwelche hidden-fields ...

Aber wenn ich alles in einer switch-anweisung hinterlege, kann ich mir auch sparen den übergebenen Parameter zu überprüfen.
Dann ist es ja egal ob jemand versucht eine externe Seite zu laden, oder eine Seite die nicht existiert, denn wenn es nicht mit einem der Werten in der switch-anweisung übereinstimmt, dann wird eben die startseite geladen.

Oder sehe ich das falsch?

ist das nicht genau das, was ich ein paar posts weiter oben geschrieben habe? wozu dient also deine nachfrage?

es geht mir hier nicht nur um die seitenauswahl, sondern um jeden parameter, den du vom user gesendet kriegst ...

mir geht es auch um die parameter die ich vom user gesendet bekomme, und mir ist auch klar das man alle parameter überprüfen muß, aber du sagst auch das man auf jeden fall eine switch-anweisung einbauen sollte.

ich möchte diese Parameter aber nicht über eine switch-anweisung umwandeln in eine Seitenangabe, die dann per include geladen wird,
sondern möchte dies einfach durch anhängen von ".php" machen.

Meine Frage ist nun ob das ein Sicherheitsrisiko ist, auch wenn ich

- externe Dateien abfange (also alles was nicht aus dem gleichen ordner kommt)
- nicht existente Dateien abfange (um Fehlermeldungen von Include zu verhindern)

Das sollte doch eigentlich genug sein um schlimmers zu verhindern, oder?

Vielen Dank
Benedick