Man würde das besser immer statisch übersetzen, also nur Zugriffe auf erlaubte includes ermöglichen, und zwar mit einer statischen Tabellen.

Ich benutze nur statische Includes die dann die Seite per Datenbank füllen, hab das Problem selbst also nicht.
Nur mal als Überlegung, weil ich es in einem früheren Projekt so gemacht hab:

Ich habe die Includes in etwa so geladen:

include "/ordner/zum/include/" . $datei . ".php";

Vorher hab ich aus $datei (wird per Get oder Post übergeben) Dinge wie "://" und ".." entfernt, falls vorhanden.
Gibt es dann npoch möglichkeiten, "böse" Dateien einzuschleusen? Wäre natürlich einfacher als eine statische Tabelle, die ja bei  jeder neuen Datei gepflegt werden muss.