Любая сторона сервера (при условии, что ваш сервер не скомпрометирован) безопасен. Выполнение этого:
$var = $_GET['var']'; include $var . ".php";
небезопасно.
include "page.php";
является безопасным.