Если вы хотите предотвратить удаленное включение файла, вы можете просто отключить обертки потока , например
allow_url_include - эта опция позволяет использовать fopen с поддержкой URLобертки со следующими функциями: include (), include_once (), require (), require_once ().
и для любых других функций, поддерживающих URL
disable allow_url_fopen - эта опция включает блокировщики fopen с поддержкой URL, которые обеспечивают доступ к объекту URL, например, к файлам
Если вы хотите проверить, является ли параметр запроса URL-адресом, вы можете использовать parse_url
if (parse_url($url) === FALSE) {
или использовать filter_* функции
if (filter_var($url, FILTER_VALIDATE_URL) === FALSE) {