Ok, entonces pone el require_once en todo include, con esto estas validando eso tambien, igual, como te dije antes (lo dije?), no es recomendable hacer lo que estas haciendo, sino que tener todo en un solo archivo es lo mejor (no el template html, sino el proceso).
Lo de darte ideas lamentablemente no se describe en dos lineas:(. Tendrías que leerte algun manual sobre seguridad web, comparacion binaria y demas de esa yerba. Despues, tenes que tener cuidado en como validas a un usuario, que pasas en las variables de sesiones y demás, conparacion con tipos de valores (int string...), etc.