ох, действительно. я уже не совсем начинающий. как же я так лопухнулся...
if (выражение) { require путь; }
так и делал. я же говорю, что страницу загружает не обращая, есть условие или его нет
нужно просто все вводимые пользователем данные проверять регулярными выражениями например. желательно исключи все символы, но если они нужны - можно их преобразовать в html-аналоги. так же то что передается через GET параметр присваивать переменной и преобразовывать символы в html.
