Avevi ragione.... avevo una falla!

Qualcuno sfruttava il fatto che passavo tramite GET le pagine da includere.
Ho aggiunto il controllo

if (dirname($_GET['link_interno'])==".") ) include($_GET['link_interno'])

e provando io stesso ad includere file esterni non va, quindi ora sono protetto

Per aumentare la protezione effettuo anche un controllo nel database, visto che i vari link vengono anche memorizzati.

Grazie a presto