Cita:
Iniciado por xknown 
No deberías usar ese tipo de código, porque dependiendo de la configuración de tu servidor fácilmente se puede incluir cualquier archivo:
$_GET["pagina"] = "/tmp/foo.php"
etc.
Saludos
Código PHP:
<?
$error=1;
if(!$_GET["pagina"]){include("principal.php");
$error=0;}
if(file_exists($_GET["pagina"].".php") and !ereg("^/",($_GET["pagina"])) {include($_GET["pagina"].".php");
$error=0;}
else{
if($error!=0){ echo "La página que solicitas no fue encontrada :p";}}
?>
Le agregué !ereg("^/",($_GET["pagina"]), es decir si existe y si no empieza con una barra "/", se incluye :D