Форум PHP

Лучше вооще не передавать имена файлов через GET, но если это неизбежно, то следует проверять, чтобы кроме точки и английских букв ничего не было

<?php   if(!preg_match("|^[\w]+\.[\w]{3,4}$|i",$_GET['page'])) exit("Недопустимый формат URL-запроса"); ?>

да я еще не исправлял толком. Не получается что-то.
Как можно поправить этот скрипт, чтобы все норамально работало?

<? $page=$_GET["page"]; if(isset($page)){ include($page.".htm"); } else{ include("title.htm");} ?>

Некрасиво как-то исправил. Когда нет такой страницы отбражается сообщение от сервера. На какой странице какая строка и тд. Надо, чтобы если нет такой странице, то грузилась какая-нибудь error.php

Про дырку: будет интересно почитать вот эту тему http://softtime.ru/forum/read.php?id_forum=1&id_theme=5481&page=1

Спасибо за консультации и за обнаружение глюка в проге! Нужно фильтр на значение переменной Page поставить, чтобы кроме букв ничего не пропускал и выводил страницу по умолчанию.

Я нашёл глюк вводишь http://www.websklad.ru/index.php?page=./ и ... сам попробуй.

Я нашёл дыру вводишь http://www.websklad.ru/index.php?page=./ и ... сам попробуй.

Страница собирается на серваке, конечно же. Ведь это на PHP писано... А почему такие тормоза не знаю, у меня асё путём.

Нет весь PHP-код, в том числе и операции include выполняются строго на сервере, клиенту уже приходит чистый HTML.

Я хотел узнать где собирается страница из кусочков в целый файл HTML на сервере или на станции пользователя? И как все это происходит? Я так думаю, что вначале загружается страница на станцию пользователя там она интерпретируется и при обнаружении скрипта с кодом include(имя страницы HTML) грузит эту страницу также на станцию пользователя и соединив эти куски выводит в эксплорере. Это так? И почему такие тормоза получаются, даже если нет графики при загрузке?
Этот форум же быстро грузится?!