Ten cuidado también con la inclusión de archivos de tu própio sitio que no desees que se incluyan .. por ejemplo un "configuracion.inc" .. o similar podría desvelar datos (como de conexión a tu BD contraseñas y demás) que baja ningún concepto te interesaría que se viesen.

Lo ideal es tener al menos una lista de los nombres de tus scripts que seran restringidos .. eso lo puedes hacer con un array() y ver si está el nombre del archivo que se está pidiendo en dicho array (con in_array()) antes de hacer tu include() "a ciegas".

Por lo demás .. no sé que tipo de contenido gestionas .. pero si tienes tantos "cientos" de escripts/páginas .. ya sería hora tal vez de replantear el sistema (tu sitio) y ver como organizar esa información por ejemplo gestionandola desde Base de datos y sus consultas SQL .. esto plantea a su vez otros beneficios (como implementación de buscadores .. etc).

Un saludo,