Holas.

Bueno, pensando un poco lo que dices no puede hacerse...hombre, puedes nombrar los archivos que quieres incluir como php.inc pero...no serviría de mucho, porque el archivo que corre riesgo es el que llama a la función include() y no los que son incluidos.

Después, si te refieres a renombrar el archivo que llama a la función include() esto si que es imposible, porque solo lo mostraría como texto y no ejecutaría el código, con lo cual sería como no tener archivo. Lo explico de forma liosa xD..pero piensalo y te darás cuenta.

Añado que para realizar este ataque lo normal es que el servidor tenga que tener register_global=on. Y bueno, un servidor mas o menos bien configurado no lo tendría, por esto mismo, por seguridad. Por eso es conveniente usar siempre las variables predefinidas :)

Saludos ;)