Noch eine ziemlich sichere Methode ist
PHP-Code:
$file = basename($_GET['file']);
$content = file_get_contents("database/".$file);
basename schneidet alles vor dem dateinamen ab
also aus /../../../xxx.php wird xxx.php
so kann man eine deartige lücken nicht mehr ausnutzen