Небезопасно требовать $input. '.php'. Затем создать класс. Как я могу сделать это безопасным, без необходимости использовать белый список классов, которые могут быть проинформированы.
Пример 1. (неправильный код).
<?php
$input = $_GET['controller'];
require $input . '.php';
new $input;
?>