En principio .. una dirección externa la llamarías por http:// (por dicho "handler") ... lo que obtengas de ese tipo de llamada será el HTML generado .. en ningún caso un "código" PHP .. o de otro lenguaje que se ejecute en tus servidores. Eso en general, ya "salva" mucho (no de otro tipo de acciones maliciosas).

En tu caso .. validas si la página existe .. con file_exists() que sólo acepta rutas absolutas (de archivos que estén en tu servidor) .. Por eso actual tu código correctamente para ese caso concreto.

Lo que no deberías hacer directamente es meter tu variable que viene por el URL en una sentencia insert() sin ningún filtrado ni validación .. Por ejemplo, si haces un ../../ .. podrías ir "escalando" por tus rutas de directorios de tu própio servidor para llamar a otros archivos .. incluso fuera de tu sitio asignado (depende de la configuración de tu servidor al respecto: safe_mode .. o include_dir .. u open_base_dir entre otras directivas de php.ini que revisar ..)


Un saludo,