ich habe ein GB. Daher habe ich Inputfelder in die der User Daten eingeben kann ... Wie kann ich verhindern, dass dort irgendein PHP Code eingegeben werden kann um meine Seite zu beschädigen?

Indem Du die Daten als Daten behandelst und nicht als PHP-Code. Sowas per include() einzubinden ist eine ganz extrem dusselige Idee, benutze echo() und dergleichen.

Falls Du bereits echo() verwendest: PHP-Code wird auf dem Server ausgeführt und nur das, was was PHP-Skript _ausgibt_, wird an den Browser gesendet. Kein einziger Browser bekommt also jemals etwas von Deinen Skripten zu Gesicht. Und falls es doch einer bekommen sollte, kann er mangels PHP-Interpreter nichts damit anfangen.

Gruß,
  soenk.e