mmm la forma en que llamas a las secciones es un verdadero peligro, imagina que hago una llamada de la siguiente manera ?sec=../../password/passwords.php o algo por el estilo, recuerda que PHP tiene acceso incluso fuera del htdocs o www, por lo cual puede mostrar al final un archivo que ni si quiera es accesible vía web, si deseas usar algo por el estilo te invito a que visites este post que hice hace un rato >.< donde se implementa un motor sencillo para el manejo de módulos