Zu Punkt 1: Denial of Service wäre zwar eventuell möglich, aber ich denke mit etwas gesundem Menschenverstand und nicht ZU viel Paranoia ist das zu vernachlässigen.
Zu Punkt 2: Erübrigt sich ja eigentlich, oder? Wenn allow_url_fopen aktiviert, scheitert der Schreibzugriff auf die Datei. Sollte allow_url_fopen deaktiviert sein, erübrigt sich das Öffnen der Datei über ein Protokoll ja ohnehin
Zu Punkt 3: Nun gut, das Risiko besteht, aber wer so nachlässig mit seinem Server hantiert, dem würde ein Angriff gerade recht geschehen
Und zu Ajax/JS: „Die, die kein JS aktiviert haben, können eh nicht viel vom Internet erwarten, oder? Neun von zehn Seiten kommen nicht ohne JS aus behaupte ich einfach mal.“ Da täuschst du dich, lass dir das von einem Meistens-JS-Deaktiviert-Haber sagen
(„meistens“ deshalb, weil man es für Applikationen wie Google Maps etc. eben aktivieren muss… leider )