¿inseguro? ¿hacer includes?

Dependera siempre de cómo compongas las rutas a los ficheros a incluir. Si lo que planeas hacer es indicar en la url el documento a incluir (como dices en el ejemplo anterior) la cosa habría que complicarla para no dar indicios a los usuario de que lo estas pasando está indicando, de algún modo, un fichero que va a ser incluido.

Espero que lo que te dije antes te halla ayudado sino dimelo que lo miramos