en mi caso no podria por que aunque si se usa un include($variable) la variable va dentro de una direccion include("contenido/$variable") entonces no puede insertar nada remoto pero bueno, sigo sin explicarme como aunque se inserte un include remoto como tu dices que conseguiria con eso puesto q la imagen o lo que fuera se ejecutaria en su servidor no en el mio, o si se ejecutara en mi servidor le harian falta datos para si acaso intentar sacar datos de la base de datos...la cual no tiene mas q los datos que muestra la web... asi que no entiendo como seria eso vulnerable... de todas formas muchas gracias por la aclaracion kezo