readfile() verhindert nicht das Durchreichen der XSS-Injektion (beispielsweise,
wenn damit HTML- und/oder Javascript-Code eingebunden wurde),
wohl aber das Ausführen von PHP-Code auf dem inkludierenden Server.
hmm,
wusste doch, dass mein NIH-Syndrom zu etwas gut sein muss ... ;-)
Gruss Norbert