ArrauKano... seguís en el mismo error.
Tu problema de seguridad está en esta Línea :

include(ZONA_CARPETA."/$zona.php");

y en dejar expuesta, en un include, una variable que es modificable por el usuario. Ahora no recuerdo exactamente el código, pero puedo obtener un string terminado con el caracter nulo y hacer algo como:

$zona = "../un_archivo_seguro.txt\0";
include("tu_carpeta/$zona.php");

Y eso va a intentar incluir:

tu_carpeta/../un_archivo_seguro.txt

Te invito a que hagas la prueba y te des cuenta que ese acercamiento al problema es completamente inseguro.

Saludos.