Auf jedenfall sollte man Sachen wie main.php?site=tpl/bla.php verhindern.
Sowas kann ganz einfach zu Sachen wie main.php?site=/etc/passwd - das würde die Password/User Datei von Linux/*NIX/ anzeigen, nicht so toll. :/

Also am besten Dateien die geöffnet werden nicht über die URL laden.
Und bei Usereingaben immer HTML Chars escapen, sonst kann man ganz einfach die Cookies der User (auch vom Admin) auslesen.