Сам по себе инклуд ни чем не опасен, если в него не подставляются пользовательские данные.
Код выше можно спокойно использовать и не париться
Код
// Так никогда не делайте
$module = $_GET['module'];
include ($module.'.php');
Тут уже нужно проверять что нам прислали в переменной module. Имхо, лучше использовать следующий код:
Код
switch($_GET['module']) {
case 'news':
case 'module_name':
include $_GET['module'].'.php';
break;
}