PHP ist so eingestellt, nicht versehentlich Code aus bösen Quellen nachladen kann. Irgendwann in gruseliger Vorzeit hielt es jemand wohl für eine gute Idee, die viele File-I/O-Routinen so aufzubohren, dass sie auch URLs statt lokaler Dateinamen verdauen konnten. PHP-Code, der annimmt, diese Funktionen könnten nur lokale Dateinamen öffnen, und der deswegen Daten vom Benutzer mehr oder weniger direkt als Dateinamen benutzt, ist dadurch oft angreifbar, wenn der Benutzer es schafft, den Funktionen eine URL unterzuschieben. Damit kann der Benutzer unter Deinem Account im Worst Case beliebigen PHP-Code ausführen -- z.B. Deine Datenbank und alle Dateien in Deinem Webspace absammeln, Malware-Schleudern installieren, illegales Zeug bei Dir hosten, usw.

Danke, das leuchtet mir ein. Warum mir das mein Hoster nicht so erklären konnte statt zu sagen "dann denk dir etwas sichereres aus" ist mir nicht ganz begreflich. Und eben wegen diesem rüden Ton (nicht zum ersten Mal) denke ich an einen Wechsel.

Natürlich. Öffne einen Socket und sprich HTTP. Oder noch einfacher: Verlinke auf die Grafik, statt sie selbst zu hosten.

Ausser fopen / fsockopen würde mir da aber nicht mehr viel einfallen. Und das ist eben auch deaktiviert.

Verlinken möchte ich nicht mehr, weil ich dann die Gefahr sehe, dass mir Leute etwas einschleussen. Hatte früher schon Fälle, dass Seiten mit Grafiken plötzlich passwortgeschützt waren (die Passwortabfrage kam dann bei jedem Aufruf meiner Seite mit der Grafik) oder unter gleichem Namen viel größere Grafiken hochgeladen wurden.