Vorweg etwas unsanft aber notwendig:
VERWENDE
NIEMALS PFADE AUS USEREINGABEN!
Sachen die vom Client kommen (POST, GET, COOKIE...) sollten immer geprüft werden und nur das notwendigste enthalten. Du kennst deine Struktur, also reicht dir die ID deiner Wohnung aus.
Ich nehme an du meinst, dass jeweils die passenden Bilder angezeigt werden wenn du auf der von dir angegebenen Seite auf die jeweilige Ferienwohnung klickst?!
Da du schon eine id übergibts, hast du eindeutiges Merkmal mit dem du arbeiten kannst. Je nach Geschmack und Umfang kannst du für jede Wohnung einen eigenen Ordner (mit Namen der id) anlegen, oder nur die id im Dateinamen des Bildes vermerken. Ich mach mal ein Beispiel mit letzterem:
PHP-Code:
<?php
$allowedIds = array(
'sunasain',
'semnadur'
);
$id = 'default';
if (!empty($_GET['id']) && in_array($_GET['id'], $allowedIds)) {
$id = $_GET['id'];
}
?>
<a class="gallery slidea" href="#"><em><img src="../gfx/pic_<?php echo $id; ?>_001.png" /></em></a>
<a class="gallery slidea" href="#"><em><img src="../gfx/pic_<?php echo $id; ?>_002.png" /></em></a>
<a class="gallery slidea" href="#"><em><img src="../gfx/pic_<?php echo $id; ?>_003.png" /></em></a>
Das wäre die sicherste Lösung, wo du allerdings eine Whitelist über die erlaubten IDs führen musst.
Eine andere Möglichkeit wäre die ID mit einem regulären Ausdruck zu überprüfen und dann z.B. in der Datenbank nachzusehen ob diese ID existiert und der Zugriff erlaubt ist.