Hola Triby. Tal vez me han informado mal. Pues, según me respondieron en este mismo foro, en un tema afín que puse hace ya algún tiempo, un bug de seguridad es precisamente eso, una debilidad de la aplicación por mala validación de los datos que entran desde el exterior, por la vía que sea (todas las que tu enumeras).

En cuanto a quien se le ocurriría hacer un Include sin previa validación, pues a cualquiera que desconozca este tema. Yo mismo lo hubiera hecho antes de conocer de los peligros reales que represente. Ahora ya tengo la experiencia, gracias a todos los que han participado en este tema, pero antes hubiera cometido el error por desconocimiento, sin sospechar el peligro.

Que bueno que aquí hay personas conocedoras como ustedes, dispuestos a ayudar a los que estamos comenzando.

Saludos a todos y GRACIAS.