Мой сайт недавно был атакован, как мне показалось, невинным кодом:

<?php
  if ( isset( $ _GET['page'] ) ) {
    include( $ _GET['page'] . ".php" );
  } else {
    include("home.php");
  }
?>

Там, где нет вызовов SQL, поэтому я не боялся SQL-инъекций. Но, видимо, SQL - не единственный вид инъекций.

На этом сайте есть объяснение и несколько примеров того, как избежать внедрения кода:http://www.theserverpages.com/articles/webmasters/php/security/Code_Injection_Vulnerabilities_Explained.html

Как бы вы защитили этот код от внедрения кода?