Allora se ho capito bene per la sicurezza mi creo un array con i nomi delle pagine e verifico se il dato passato fa parte degli array oppure no. Devo dire che non capisco quali problemi di sicurezza ci siano nelle inclusioni tramite GET...

Per le variabili globali ho trovato con google che le dovrei definire così:

$a = ppp;
function pippo(){
global $a;

}

E poi la posso usare all'interno della funzione, mentre il return se non sbaglio chiude una funzione e lo dovrei usare per eseguire l'include o sbaglio?