Al trabajar con includes que dependen de un valor enviado por el cliente (como variables de url), lo más seguro es evitar usar estos valores directamente, y que simplemente sean una referencia. Me explico. Si quieres que dependiendo del valor de X variable de url se muestre algún contenido mediante includes, puedes crear un array cuyos índices sean las referencias y los valores sean los scripts php a incluir en cada referencia:
Código PHP:
$secciones = array(
'inicio' => 'index.php',
'historia' => 'historia.php',
'foro' => 'foro.php',
'blog' => 'blog.php',
'contacto' => 'contact.php',
'404' => 'noexiste.php'
);
// Luego buscas en el array el valor llegado de la url: index.php?seccion=foro (por ejemplo)
$seccion = trim($_GET['seccion']);
$seccion = strtolower($seccion);
$script = isset($secciones[$seccion]) ? $secciones[$seccion] : $secciones['404'];
include "includes/$script";
Con respecto a tu segunda duda, Busca y lee sobre htmlentities().
