è corretto quello che hai trovato .. è un grosso pericolo di sicurezza!!!

puoi fare XSS .. metterlo a off è possibile anche runtime (con ini_set) .. ma non è il solo controllo che devi fare nell'include ..

a riguardo puoi dare un occhio all'esempio usato nella 3° lezione del corso libero di PHP