@yankee: indem ich das nicht auf PHP-Ebene, sondern auf server-Ebene verbiete. So soll der Webserver-Benutzer keinen Zugriff auf die Passwort-Datei haben, etc.

allow_url_fopen auf aus ist ne Sicherheitsmassnahme, die man aber auch net unbedingt braucht - die Funktionalitaet die man dadurch verliert kann man sich bspw. mit fsockopen() nachbilden.
BTW, PHP6 wird den Parameter trennen: allow_url_fopen gilt nur noch fuer fopen(), fuer include, require, und die jeweiligen _once-Pendants gibts allow_url_include. include() ist uebrigens der Grund, warum ich es sicherheitshalber deaktiviere - Remote Code Execution ist dadurch unmoeglich.

Greetz
alcaeus