El error no es tanto si "fuerzas" la extensión .php como lo haces .. peor sería hacer:


index.php?pag=noticias.php

y dejar "libre" el include tipo:

include("paginas/web/".$pag);

o peor todavía dejar la ruta libre también y que todo venga desde:

index.php?pag=paginas/web/noticias.php

El problema que platea el código que usas es que se puede hacer algo tipo:

index.php?pag=../../noticias

aunque sólo accederíamos a un archvio .php (y se ejecutaría) que sepamos el nombre (el cual se podría dar por una configuración con "indexes" activados si accedemos a un directorio sin un index.php o .html por un url tipo: www.nose.com/paginas/web)

Un saludo,