Es una absoluta contradicción tener un archivo llamado
seguridad.php y que incluya códigos como estos:
Código PHP:
Ver originalif($_POST[puede_pasar]=='siii'){ puedes hacer lo que quieras }
Es un pase libre a que cualquier atacante haga XSS, SQL injection, o vaya a saber uste' qué cosa.
Hay que escapar los caracteres según corresponda (no es lo mismo mostrar datos en un email que almacenarlos en una base de datos).
Por favor, investiga más al respecto. Hay decenas de ataques diferentes.