nuevo . el código que planteas es bastante peligroso ..
Sólo filtras si la extensión es .php o .inc .. y .. por la llamada del archivo que haces por el URL con su nombre completo podrías llamar ahí a por ejemplo tu "config.inc.php" y ver detalles sobre contraseñas de tu BD por ejemplo ....
Si desean llamar a los archivos que van a presentar "coloreado" su código fuente . usen algún identificador para poder validar que el archivo que van a ver su código está dentro de una lista de permitidos .. ejemplo
usando un array asociativo:
Código PHP:
$archivos_permitidos=array("class.mail.inc.php"=>"class.mail.inc.php","etc.php"=>"etc.php");
//Y la validación
if (in_array ($_GET['accion'],$archivos_permitidos){
//El código que ya usan ...
} else {
echo "archivo no permitido ver su contenido o no existe ..." ...
}
Un saludo,