In questo caso il problema sicurezza non si pone più di tanto in quanto tale codice decide solo quale pagina visualizzare.
I problemi di sicurezza si presentano quando non si effettuano determinate verifiche sui controlli utilizzati per i login e, quindi, per l'accesso al sito e/o al relativo DB.
Ferme restando le falle di sicurezza di PHP che solo il sito di Hosting può gestire (se usi un server tuo ti consiglio di aggiornarlo continuamente), le maggiori problematiche di sicurezza riguardano, appunto, il controllo degli accessi.
Se, ad esempio, non effettui alcuni controlli NON SOLO nell'input di campi come user-name e password, ma anche e SOPRATTUTTO nel risultato del $_GET saresti facile preda di un malintenzionato.
Le tecniche di SQL injection sfruttano, per la maggiorparte, questa carenza di controlli.
Senza addentrarmi troppo nello specifico, ti consiglio di partire da QUI>>>http://it.wikipedia.org/wiki/SQL_injection