Ха! Может. Запрос-то идет с твоего сервака на втой сервак. А твой сервак видя, что запрос пришел из соседней папки (по IP) посылает его по матушке.
Потом, чтобы сработало
fopen("customer2/dbpassword.php", "r");
Нужно, чтобы скрипт, содержащий это лежал в папке firms, а этого можно недопустить настройкой пермишнов.
Я прав или нет?