No es cuestión de incluirlos con una ruta.

PHP provee una configuración de seguridad en el php.ini que especifica los directorios desde los que se pueden cargar archivos. Esta directiva es open_basedir

Si se pide cargar un archivo que no esté en un directorio especificado en open_basedir, la inclusión falla.

De todas formas, no es una buena práctica confiar en algo que no controlamos, bien puede estar habilitada esa opción en el sistema hoy y no estarlo mañana, o cambiar su valor.

Creo que las medidas de seguridad nunca son una tontería, a lo sumo serán redundantes, pero nunca una tontería.

Si tu amigo está confiando en open_basedir, solo espero que nunca se lo deshabiliten en la empresa de alojamiento....

A propósito, ¿no hiciste alguna pruebita?