Piszę coś na kształt systemu CMS. Mój index.php wygląda tak jak poniżej. Chciałem się spytać czy header i footer są ładowane pojedynczo czy przy każdym wczytaniu innej strony ? Strony są wczytywane na zasadzie index.php?p=nazwa_strony

[PHP] pobierz, plaintext 
ob_start();
session_start();
require_once('functions.php');
 
foreach ($_GET as $key => $value) {$$key = $value;}
 
foreach ($_POST as $key => $value) {$$key = $value;} 
 
 
 
if(!isset($p)) {$p="main";}
 
 
include_once('header.php');  //naglowek strony
if(file_exists('view/'.$p.'.php')) include('view/'.$p.'.php');  //tresc strony
include_once('footer.php');  //stopka
ob_end_flush();
[PHP] pobierz, plaintext 

Nigdy, _nigdy_ tak nie rób.

Robiąc "foreach ($_GET as $key => $value) {$$key = $value;}" pozwalasz komukolwiek z zewnątrz "wstrzyknąć" dowolną zmienną jaką sobie zażyczy — a to potencjalnie może umożliwić atak.

Co więcej, pozwalasz zaincludować dowolny plik jaki potencjalny atakujący chce. Tego też nie chcemy.

---

Odnośnie pytania — robi się tak, że jest tylko jeden plik, który wyświetla treść (index.php) — i po prostu przekazuje się jaką podstronę ma wyświetlić.

Oczywiście robi się to "trochę" inaczej niż Ty

.radex może jakiś przykład jak to się robi

Powiedzmy, że masz link index.php?podstrona=kontakt
Wykorzystujesz wtedy $_GET, w skrócie jeśli zmienna podstronna = kontakt, includujesz dany plik.

Pliki ładuj raczej tak:

Zrób sobie listę plików, którą możesz użyć. Do tego masz 2 podstawowe opcje:
1. Tworzysz sobie tą listę na stałe, z palca wpisując do tablicy nazwy plików.
2. Skanujesz katalog z podstronami w poszukiwaniu plików i dynamicznie dodajesz je do tablicy.

Teraz pobierając nazwę podstrony z GET, sprawdzasz czy jest w tablicy dozwolonych, jeśli jest, to ją dołączasz, jeśli nie, to wyświetlasz domyślną lub stronę z błędem 404.

Jak na moje to ta linijka poniżej nie pozwala zainkludować żadnego pliku z zewnątrz włamywacz musiałby najpierw zgrać swój plik na serwer do podkatalogu view

[PHP] pobierz, plaintext 
if(file_exists('view/'.$p.'.php')) include('view/'.$p.'.php'); //tresc strony
[PHP] pobierz, plaintext 

Co do zmiennych to i tak według mnie można dowolnie manipulować przesłanym nagłówkiem i danymi POST / GET więc tu też zagrożenia nie widzę.

Bardzo dobrze, że sprawdzasz czy plik istnieje, i podajesz konkretną ścieżkę, ale...
W Twoim przykładzie jest:

[PHP] pobierz, plaintext 
if(!isset($p)) {$p="main";}
include_once('header.php');  //naglowek strony
if(file_exists('view/'.$p.'.php')) include('view/'.$p.'.php');  //tresc strony
include_once('footer.php');  //stopka
[PHP] pobierz, plaintext 

Co jeśli $p będzie ustawione na:
1. 'plik_ktory_nie_istnieje' ?
2. '../../../../etc/passwd', lub np.: '../../config/database.ini' ?

Odpowiadając na pytanie - nie załaduje nic oprócz header.php i footer.php bo nie spełni warunku ? Dla mnie takie coś jest ok, ewentualnie żeby było zgrabniej można dorzucić drugi warunek:
Jeśli chodzi o luki w bezpieczeństwie to ja żadnych nie widzę w tym schemacie.

[PHP] pobierz, plaintext 
if(!isset($p) || (!file_exists('view/'.$p.'.php')) {$p="main";}  //jeśli nie ma zmiennej $p lub nie ma pliku to ładujemy main.php
include_once('header.php');  //naglowek strony
include_once('view/'.$p.'.php');  //tresc strony
include_once('footer.php');  //stopka
[PHP] pobierz, plaintext