Es öffnet ja auch Tür und Tor auf dem Server, wenn man frende Inhalte per include einbindet!

Sicher - aber man kann genausogut mit fsockopen ein File von einem anderen Server abholen und durch eval() jagen, wenn man das denn möchte.

Wer allow_url_fopen / include einsetzt, sollte _genau_ wissen was er tut.