Лучше всего сделать, чтобы страница, которую вы пытаетесь включить, существует в первую очередь. Реальные лазейки безопасности приходят, когда ваша страница включения обрабатывается из какого-либо пользовательского ввода, такого как переменная URL. ?include=page.php
Пока вы осторожны, вы должны быть в порядке.
if(is_file($file)) {
//other code, such as user verification and such should also go here
include $file;
}
else { die(); }