Безопасность включения локальных файлов str_replace

Я пытаюсь написать локальный файл включения защищенного файла php. Я нашел хрупкое решение в DVWA, как это:

$file = str_replace( array( "..\\" ), "", $file );

Тогда я сделал шаг вперед и написал это:

 $secure  = $_GET[ 'page' ];
$secure = str_replace( array( ".", "\\" ), "", $secure );

if (isset($secure))
{
include($secure.'.php');
}

Я не мог сломать эту безопасность. Также я никогда не видел, чтобы это использовалось где-либо. Почему никто не использует этот трюк замены для одиночной точки и одиночной обратной косой черты?