Hola,

PHP es tan potente que puede ser peligroso para el que lo maneja descuidadamente. Y a veces el administrador del servidor tiene parte de culpa. Por ejemplo, si no se permiten abrir URLs remotas es imposible abrir el fichero remoto (a no ser que haya algun bug en PHP que a pesar de estar configurado para no aceptar URLs remotas las abra en algunas circunstancias).

Hay que pensar que no todo el mundo va a usar la aplicacion como la tenemos pensada, y que mas vale prevenir que curar. Un poco mas de trabajo para mejorar la seguridad puede evitar miles de dolores de cabeza.

Saludos.

PD: En este caso es PHP, no se si asp, jsp o cgi tambien pueden sufrir este tipo de ataques de inclusion de codigo remoto.