Sto bi rekao Harry Fuecks, ovaj tvoj nacin je "path to serious hair loss"
Elem, ako vec zelis da ukljucujes php strane u zavisnosti od request stinga, onda trebas da uradis sledece:
1) listu dozvoljenih vrednosti za tu 'page' variablu cuvas u nekom array-u tipa:
PHP kôd:
$allowed_pages = array('foo','foo1','foo2');
if(in_array($_GET['page'], $allowed_pages))
{
//nastavljas sa inludom
}
else
{
//neko pokusava da te hakuje!
}
2) nemoj page variablu da zoves page, mozes da joj das neko manje smisleno ime koje potencijalnom hakeru nece odmah reci za sta se koristi.
3) Mozes koristiti jednostavan metod "kriptovanja" (ovo nije naravno pravo kriptovanje) sadrzaja query stringa sa base64_encode/base64_decode f-jama.
I naravno, nikada ne veruj onome sto ti stize sa druge strane (usera). Za vise informacija, mozda da potrazis "Php Architect Guide to Security", mislim da se tako zove knjiga.