Laughing together

if 2 sites are trying to communicate with one file, then it is logical to move it outside the public zones and work with it there. php is perfectly able to work within its working directory. You can generally wrap all this in an api on the third domain and give json. But the very idea of ​​one site accessing another is dangerous because of their connection, not hacks.

Your colleague is right. It's a kind of XSS hole.
And you laugh out of stupidity, not even realizing that they are LOCAL rights and do not play a role at all if it has webserera rights. Simply put, if the php script has access (should do something with it), then that's all, that's enough.

Перемещение файла однозначно ничем не поможет. если получить доступ к 1 то можно и получить доступ ко 2. Тем более в этом случае разумнее будет внедрить код в содержимое исполняемых файлов, а не в xml.
Зависит от того где получается на клиенте / сервере, какие операции над файлом, но вообще следует всегда валидировать содержимое(не доверять источнику) приводить к типу, фильтровать на потенциальные xss. зависит от использования данные.

Я конечно извиняюсь за такой глупый вопрос, но это единственное место, где ему могут авторитетно ответить.