ochrana pred include

"./" zajistí, že soubor musí být v aktuálním adresáři (tudíž nemůže být ze vzdáleného serveru), a "st_" zajistí, že název souboru bude muset začínat na "st_". Dobrá ochrana je také includovat pomocí case nebo několika podmínek (k jedné možnosti přiřadit jednu cestu includovaného souboru)

neni to dobra ochrana, ale jedina 100% ... vsechni ostatni se daji obejit.

myslim ze na soom.cz je o tom clanek. a na stoyan.ic.cz taky.

"./" zajistí, že soubor musí být v aktuálním adresáři
Nezajistí.

./../../soubor.txt je o 2 úrovně výše.

ale jedina 100%
Netvrdil bych. Stačí testovat řetězec na přítomnost zanků jako "/" nebo "." ...

TFSi
Netvrdil bych. Stačí testovat řetězec na přítomnost zanků jako "/" nebo "." ...
Ani nie , skor by somto testoval na "./" lebo ak mas neaky script v inej zloske tak "/" je nevyhnutnost ...

100% ochrana je že se porovnává to co jde z adresy s něčím jiným a pokud je to shodné teprve se provede include.
To něco jiné může být id článku nebo jméno článku, ad už jako klíče v databázi nebo v poli (array) a ta adresa by měla být v tom poli (databázi) jako položka, kterou teprve použijeme na includování (u db se prostě odpovídající článek vypíše).

if (preg_match('/w+/', $page)) ...

Nesnažte se hledat všechny špatné znaky, ale vyjmenujte ty dobré.