Davide, ja absolutne nechapu, proc ty a autor clanku to nazyvate socialisticke omezeni. Naopak, je to kapitalisticke omezeni. Vzdy mas moznost utect k jinemu hostingu.
Myslim, ze omezeni allow_url_fopen a zaroven povoleni curl na serveru je naprosto bezne. Podle me autor clanku nema pravdu v tom, ze je to uplne to same. Pro vytvoreni nejake chyby typu include($url) v cURL toho musim udelat mnohem vice a proto je velmi nepravdepodobne, ze bych neco takoveho vytvoril.
Navic, ani allow_url_include neni resenim bezpecnosti. Staci pouzit neco jako php://input a jsme zase na tom samem. Jedinym resenim proti include vulnerabilities je Suhosin.
Dale si myslim, ze hosting, ktery to nema takto resene (vypnute include + suhosin) je naopak spatny. Zkuste mit na serveru 200 domen a mluvit o tom, ze je kazdeho zodpovednost starat se o bezpecnost. To nejde. Teoreticky ano, prakticky ne.
Posledni troskou je zminka o exec() na serveru jako moznem reseni zakazu include. Prosim? Hosting s povolenym exec()? Dle meho ruce pryc! Pokud neco takoveho chci, mel bych mit VPS. Jiste, existuji zahranicni reseni, ruzne giganty typu hostmonster. Ale mluvime tam o stovkach tisic domen, ne o stovkach (jednotek) jako v CR. Vyvijet takove reseni je mimo rozpocet 99 % hostingu v CR.
Se vsim vsudy, ja osobne bych naopak doporucil vyhledat hosting s allow_url_fopen Off (cURL je proste dnes standard), suhosin, exec() disabled (a mnoho dalsich funkci, cca 20ti). Nejlepe pak i s FastCGI. Mam relativni jistotu me bezpecnosti. V opacnem pripade si zahravam se svymi daty. Pokud potrebuju vic, mel bych mit VPS.
