Vamos mudar um pouco o tema, para dar uma dica simples: Como incluir um arquivo PHP com segurança através de QueryString ( Passagem de parâmetros ).
Por exemplo: http://www.seusite.com.br/?page=contato
O “segredo” da segurança é criar um Array ( White List ) das páginas PHP que existem no servidor e que poderão ser incluídas na página.
<?php $validas = array('cursos','matricula','contato','busca'); if ( in_array( $_GET['page'] , $validas ) ){ require_once( $_GET['page'] . ".php"); }else{ require_once("meio.php"); } ?>
O código é bem intuitivo, verificamos se o arquivo da QueryString “page” existe no Array White List de páginas liberadas, se existe, inclui, se não existe, então inclui a meio.php ( Suponha que esta seja a página index do site, a página que aparece quando o site é carregado. )
Usar require_once também é importante para a segurança, uma vez que, se o script a ser incluído estiver com problema, o require_once para a execução da página e mostra uma mensagem de erro, já o include continua a execução da página, podendo expor informações importantes de segurança.