Über die Methode wie du Sie dort aufführst, ist es evtl. möglich sogar Systemdateien einzubinden. Ein paar versuche und schon kann man über relative oder absolute pfade auf /etc zugreifen...

Ich würde dir empfehlen die variable page in einem Switch abzufangen, der dann die dateinamen zuweist oder "default" auf die errorseite linkt. Damit bist du von dieser seite her schon mal aus dem schneider...

Was das Includen der Dateien angeht:
Leg alle Dateien in einen Ordner, der über HTTP nicht erreichbar ist. Include kann auch auf tieferliegende Verzeichnisse zugreifen und du kannst so deinen Usern die Datenen includen...

Damit bist du um alle Sicherheitslücken im gröbsten rum, wichtig ist, dass deine Login sauber aufgebaut ist und dort keine Löcher mehr entstehen :)

Gruss,
Stefan