Mouais, c'est qu'un voile de fumée car l'on peut encore faire des attaques par injection en GET après la mise en place de rewrite rules. D'ailleurs cette solution ne s'axe qu'en GET alors que les attaques (que ce soit des LFI, RFI, SQLi etc.) se font aussi en POST.
Et de plus, les RFI peuvent être bloquées dans le php.ini avec allow_url_fopen (dans le cadre d'un serveur PHP lambda) onc cette seule condition de rewrite sert à rien. Un problème se présente d'ailleurs lorsque l'on veut faire un système de redirection d'URL afin de réaliser des statistiques sur les clics vers des URL externes.
