mm Hombre .. si tu haces:
http://www.tusitio.com/abre_pagina.p...tmalicioso.php
y "abre_pagina.php" hace:
Código PHP:
<?
include($_GET['pagina']);
?>
así tendrías el problema que menciona el Sr. del "paper1.txt" si como menciona $thisone usas "allow_url_fopen" a ON ..
Pero lo más sano es que NUNCA! hagas eso sino que "valides" que archivos vas a incluir de esa forma .. por ejemplo puedes empezar filtrando esa variable "pagina" para no aceptar http:// .. tampoco un ../ .. o similar y así restringirte a tu própio HOST las llamadas de páginas. En otros casos puedes usar un array de páginas autorizadas y validar contra ese array (in_array() por ejemplo) si está "$pagina" en tu lista (en el array). En fin .. hay muchos métodos, lo importante y primera premisa es "NUNCA! confiar en el valor que pueda llegarte de forma externa", como podría ser esa $pagina (más encima si usas register_globals a ON peor todavía).
Un saludo,