Kann das der User manipulieren, sollte man das anders lösen? Wäre ja blöd wenn der User den Inhalt so manipuliert, dass meine Seite einen PHP/HTML/JAVASCRIPT-Befehl ausgibt…
file_get_contents ist die einfachste Methode, aber oft deaktiviert („allow_url_fopen“-Einstellung). Dasselbe gilt mehr oder weniger für curl. Ich würde es mit fsockopen versuchen.
Grundsätzlich gibt es da nichts zu manipulieren, da der Datenaustausch von Server zu Server geht, bevor die Daten an den Client geschickt werden.
Es gelten natürlich die üblichen Hinweise, dass Benutzereingaben mit Vorsicht zu genießen sind. Das ist bei jedem Script so.