No es muy seguro, así yo puedo incluir cualquier fichero que quiera, poniendo biografias/../configuracion.php, que sería index.php?biografias=../configuracion.php incluyo tu fichero de configuración, y de ahí hasta alguno del sistema.
Lo habitual es usar un SWITCH (parecido a un condicional if-then-else), que evalúa qué hacer con la variable y además limitas, en tu caso, los ficheros que puedan llegar a ser incluidos. También puedes crear variables que hagan de configuración...
Para que te hagas una idea, un SWITCH funcionaría más o menos así:
Código PHP:
SWITCH($_GET['biografias']) {
case "madona":
include("biografias/madona.html");
break;
case "manowar";
include("biografias/manowar.php");
break;
default:
echo "No has seleccionado ninguna biografía";
break;
}
En caso de no encontrar ninguna coincidencia, se ejecutará lo que se especifique por defecto (default).