Hello,

Es öffnet ja auch Tür und Tor auf dem Server, wenn man frende Inhalte per include einbindet!

Sicher - aber man kann genausogut mit fsockopen ein File von einem anderen Server abholen und durch eval() jagen, wenn man das denn möchte.

Das ist aber nicht halb so gefährlich, weil man da immer noch die Möglichkeit hat, das File auf Plausibilität zu prüfen, also z.B. eine Signatur/einen Wegwerfschlüssel oder ähnliches abzufragen.

Bei Include ist es sofort zu spät!

Wer allow_url_fopen / include einsetzt, sollte _genau_ wissen was er tut.

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg