So gesehen ist diese PATH_INFO-Angelegenheit zwar eine nette Sache, aber wenn man ungültige Zugriffe nicht direkt im Skript abfangen kann (wie es eben bei SSI der Fall ist), erscheint mir das nicht so recht durchdacht zu sein.. Da wäre eine Option DisallowPathInfo bei mod_include ganz hilfreich.

Das haben sich die Apache-Leute auch gedacht und prompt in ihre neue Version eingebaut.

http://httpd.apache.org/docs-2.0/mod/core.html#acceptpathinfo