index.php?sayfa=a olarak url den sayfa değerini a ile alırsın get ile şöyle olur
$calistir=$_GET['sayfa'].".php";
sonra calistir serverda varmı kontrol edersin
if (file_exists($calistir))
include($calistir) dersin
serverdan kontrol ettirmeden de yapabilirsin bunu ama adamın biri kendi çağında bi exlpoid yazar senin sayfa değiştkenine gider o exploitin urlsini verirse direk sayfanı ona include eder ve sistmine dalar ondan sonra siteni değil bütün serveri ele geçirir