Вопрос по php include

Исходных данных мало, но из того, что есть, допускаю, что это банальный html в котором хочется повторяющиеся участки сайта не переписывать в каждом .html файле, а подключить их шаблоном. В этом контексте ломать там будет нечего при всем желании. Так же как и php include. А так да, если туда начать напихивать дичи без понимания - все что угодно может быть.

Простой сайтик никому не интересен для взлома)  Тут больше переживать нужно за то, что оправдает ли такой маленький сайтик ваши надежды и приведет ли к цели. 

Все верно, php нужен так как буду использовать простые функции типа rand, date и т.д.

Сайтик может быть не интересен, но машина, на которой размещён сайтик, может быть интересна.

Если не будете использовать $_GET и $_POST тогда можете не переживать.

Если будете, ну тогда надо уже фильтровать эти данные и проверять для защиты.

Обычно можно создать файл .htaccess в корне хостинга и просто запретить открытие таких файлов вообще:

<Files ~ "^(header|navigation|sidebar|footer)\.php$">
Deny from all 
</Files>

В инклуде будут работать как обычно.

Ну и можно закрывать целые типы файлов:

<files *.dat>
Order allow,deny
deny from all
</files>

А уже их там вставлять или считывать.