Fopen ? hat ja nix mit XSS oder der Datenbank zu tun.
da geht es darum ob der server externe url's öffnen darf..
z.b. klamm für die uservalidierung
Allow_url_fopen = off
unbedingt darauf achten, dass es nicht on sein muß, sprich die Schnittstellen müssen umgeschrieben werden. On ist eine große Sicherheitslücke und mehr und mehr Hoster verbieten diese Einstellung