тебе нужно вставить инструкцию по защите;
if (isset($_GET['file'])) include $_GET['file'];
Тогда всё сразу станет ок. :-)

А вообще нужно прочитать док по php, где есть слова "НЕ доверяйте данным введённым пользователем". Эти слова - залог твоего успеха.
ps
насчёт инструкции защиты я пошутил.