Pues tienes vários métodos ...
1) usar un array asociativo (o Base de datos u otros médios) para almacenar la correspondencia "indice" -> "archivo (ruta/nombre). (podría servir hasta una estructura de control tipo switch() si son pocas las opciones de archivos a manejar)
De esta forma validas sólo los indices que tienes en tu array (BD .. etc) donde deberías incluir la lista completa de archivos que puedan ser accedidos por tu script.
2) Usar rutas absolutas completas y "limpiar" de la cadena (variable externa que usas para llamar a tu archivo) las secuencias de caracteres tipo: "../" y similares.
Esa limpieza se puede hacer con funciones de cadenas (str_replace() etc ..) o incluso mejor con un patrón de Expresion regular.
Ejemplos y várias propuestas similares tienes en los comentarios de los usuarios de la función include()
http://www.php.net/manual/en/function.include.php
Un saludo,