Aber: Sollte sich später ergeben, dass man doch PHP im Include ausführen möchte, muss man für alle Seiten, die das Include einbauen, den Quelltext ändern. Das würde man sich sparen, wenn man gleich include() verwendet.

Genau so gut kann sich aber herausstellen, dass man auch unter dem Aspekt der Sicherheit besser beim readfile() geblieben wäre. Z.B. weil ein Benutzer der Webseite PHP-Code unterschieben konnte oder weil einem Benutzer PHP-Code untergeschoben wurde… Ich sag mal ganz vorsichtig „Wordpress“ und „Templates“.

Insofern sollte man wohl raten, bloße Daten und Includes schon im Dateisystem sorgfältig zu trennen (Dateiendung reicht nicht…) und mit der zugehörigen, begrenzteren Methode einzubinden.