Asegúrate de manejar bien las variables get que recibes.
Porque con ese código por ejemplo..
Yo puedo llamar algo así:
http://sitioweb.com/admin/tejodan/leches
Esto buscaría el archivo admin.php y le pondría de una variable ?tejodan con contenido leches.. xD
Lo que me refiero, es que, el visitante podría jugar con cualquier archivo.php y meterle cualquier variable.
Deberías limitarlo a archivos específicos con variables especificas..
Saludos