Я передаю в php-скрипт через GET имя файла:
index.php?id=name
В скрипте это имя принимаю, и образую полное имя:
$file_name = $dir . $_GET[id]. ".html";

Далее, проверяю существование $file_name, и если он есть, то открываю этот файл, неким образом его обрамляя.

Мне сказали, что этот способ может быть дырой в безопасности, и при желании хакер может такой сайт взломать.
Я не смогла придумать, каким образом?

Для дополнительной безопасности можно было бы проверять сначала $_GET[id] на наличие запрещенных символов (разрешить только буквы, цифры и _-).
Но для начала надо понять, а КАК такое взламывается?

Николай aka Motodor а можно узнать зачем надо передавать имя подключаемого файла из вне?!

В скрипте определен дизайн сайта.
В различных директориях, соответствующих разделам сайта, лежат файлы с содержанием страниц. В этих файлах - только содержание, минимум html.

Скрипт определяет имя файла, и подключает его в нужное место, вписывая в дизайн.
Базы данных нет. Хозяева сайта легко создают и наполняют страницы нужным содержанием. Если нужно поменять что-то в дизайне, можно отредактировать только скрипт.

Но если я проверяю синтаксис $_GET[id] - и при наличии в нем любых знаков, кроме букв и "/" - останавливаю программу!
Значит, дыра закрываетcя?

sky2khttp://host/index.php?id=../../etc/passwd%00
%00 будет означать конец строки, поэтому .html из [$_GET[id]. ".html";] не будет учитываться
следовательно параметром для include_once() будет $dir . "../../etc/passwd"


Почему же?
$file_name = "my_dir" . $_GET[id] . ".html";
В Вашем примере %00 - конец строки для $_GET[id],
но в $file_name все равно добавится .html !

Спасибо большое!