<?php include("http://www.irgendwas.com"); ?>

wenn überhaupt:

<?php include("http://www.irgendwas.com/"); ?>

Nur gibt Dir der Server dann normalerweise kein php-Skript zurück, sondern dessen Ausgaben.

Ja, Es kann böswilliger Code zurückgegeben werden.

denkbar wäre:
eine solches skript:

<?

echo "<? fopen($PHP_SELF,w) or die;...;echo "ich bin völlig harmlos"; ?>";

readfile() wäre besser...
An den Quelltext kommst du aber nicht ran, nur an die Ausgaben. Bei dem anderen Weg aber auch nicht.