autre solution pour éviter l'injection est de savoir exactement quelles sont les pages pouvant etre réclamées. (dans le cas d'un site centré sur un index)
// la liste des pages autorisées
$allowedPages = array ('mainmenu', 'aboutus','advancedsearch','agreement'); //... etc
$page= $_GET('page'); / bien sur register_globals sur OFF
$page= (in_array($page,$allowedPages) ? $page: 'mainmenu'); // si vide ou pas dans la liste, page par defaut
include_once ($page.'.php');