[Prisoner]

Цитата XCodeR:

Есть массивы $_GET, $_POST, $_SESSION, $_GLOBALS и т.д.

Которые в данном случае, согласись, не панацея - их значения также можно подделать.
Angel of death, XCodeR прав - как минимум одна дырка есть. Сделайте следующее - создайте механизм проверки и фильтрации допустимых значение переменной $file. К примеру руками набейте массив всех значений которые может принимать эта переменная и перед инклюдом проверяйте: то, что в $file (или $_GET['file'] если угодно) есть ли в массиве дозволенных значений? Нет? Атака!

Массив дозволенных значений можно формировать как руками, так и автоматически, если потенциально включаемых файлов у Вас много.