allow_url_fopen() je zakazany z jednoducheho duvodu, neskutecne mnozstvi lidi pouziva primo GET parametry pro include obsahove casti a neobtezuji se ani primitivni kontrolou zda-li je soubor lokalni. Nez to zacali admini zakazovat, tak to byl snad nejcastejsi vektor utoku na PHP aplikaci, hned po hadani FTP hesla a tesne pred ruznymi druhy SQL injection.