Ale includowanie ma mieć miejsce na Twoim serwer1.com czy na serwerze hakera? Jeśli na jego serwerze - to nie bój żaby, Twój serwer nie wyśle kodu źródłowego pliku .php, tylko wynik jego wykonania. Nie musisz nawet się zabezpieczać w wyżej wymieniony sposób.
Nie można zdalnie zaincludować pliku php bez wcześniejszego wykonania go przez serwer macierzysty.