Тогда массив где-то хранить надо иначе при добавлении файлов ссылки поплывут.Сообщение от DogEater
Ну да. Цифры в полученной переменной могут быть всего лишь номером(ключом) массива из имён файлов(см glob()). Сначала отдаёшь номер элемента массива, содержащего имя файла в ссылку, а при запросе по номеру подгружаешь контент по имени из этого элемента.
Куда уж безопаснее.
Ну а как заинъектировать что-то, чего нет в нужной папке в этом случае - я не знаю. Даже если слеши не проверять - include("имяпапки\".$_GET['id'].".hml") или ругнётся или возьмёт что надо. Особенно если подпапок нет.
Ну для пущей перестраховки - перепровериться на слеши или удалить их.
Ответить с цитированием