SIEMPRE deberías comprobar, al hacer esta clase de cosas, que lo que te mandan como variable es válido.

En principio, me parece que......

1º.- deberías hacer una expresión regular que filtre la variable "page", para permitir (por ejemplo) solo letras, solo números, guiones, infraguiones, puntos, etc.

2º verificar si el archivo existe antes de hacer el "include" (file_exists)

No sé si tu código tiene problemas específicos, lo que sí te digo es que siempre deberías comprobar cualquier dato que pueda ser modificado por un visitante, para evitar riesgos.


Saludos.