mmmmhhh... las FAQ, esas grandes desconocidas de los foros...
Mirando en el
índice de FAQ de PHP he encontrado
este post sobre seguridad donde encontrarás la información.
De entrada decirte que no puedes fiarte de que sea fiable lo que venga de un $_GET, ya que se puede modificar fácilmente, y más si la dirección es del tipo pagina=loquesea.php, ya que cualquiera puede poner pagina=../ruta/a/un/script/chungo, por ejemplo.