такая система делается либо через шаблонизатор более высокого уровня(к примеру, Smarty). Переданные данные сохраняются, а потом вставляются в нужное место шаблона. Либо же через readfile и иже с ним, что побыстрее, но негибко с точки зрения контентщика(либо же программисту-создателю придется продумать кучу вариантов и предоставить контентщику кучу параметров). В любом случае, максимум, чем грозит такой подход - XSS и прочие проблемы безопасности на стороне клиента(связанные с опасностью для целосности дизайна и приватной информации конечного пользователя). PHP не инклюдится.
да и в отношении HTML-кода и связанных с его использованием уязвимостей - существуют и применяются решения:
1. контентщик использует код, который контроллируемо транслируется в HTML(BBCode, к примеру). HTML-код преобразуется в сущности.
2. содержимое, которое будет вставляться, заранее разбито на блоки. контентщик вводит разные блоки без указания форматирования. затем при выдаче, разные блоки имеют разный дизайн. часто, кстати, используется при высокой формализации содержимого(например, объявления на доске, состоящие из заранее определенного количества полей). HTML-код преобразуется в сущности.
3. strip_tags gjpdjkzпозвказать список тегов, которые удаляться не будут. таким образом можно обработать HTML-текст, выбросив из него все, кроме <b> и <i>(к примеру). впрочем, способ тупой, потому как не удаляет аттрибуты у разрешенных тегов, потому в них(в атрибуты) вполне можно вставить javascript-код. упомянул только потому, что пару раз сам использовал и хотел бы предостеречь от такого варианта.