1. По-поводу скорости.
Без акселераторов unserialize(file_get_contents('...')) у меня выполняется быстрее, чем include '...' примерно в 2-3 раза. Можно объяснить это тем, что при include выполняется парсинг PHP кода и, в отличии от unserialize, необходимо распознавать намного больше языковых конструкций (в include версии можно, например, в качестве значения указать вызов функции; в unserialize — нет).
С акселератором (я использовал opcache) ситуация прямо противоположная — include '...' быстрее, чем unserialize(file_get_contents('...')) примерно в 2-3 раза.
Итог: поскольку акселератор можно настроить так, чтобы он не влиял на корректность работы PHP скрипта, побеждает include.
2. Безопасность.
Если PHP скрипту необходимо не только читать конфигурационный файл, но и производить запись в него, то на конфигурационный файл будут выставлены соответствующие права и появится потенциальная дыра в безопасности (связанная с тем, что кто-либо теперь сможет изменить код исполняемого PHP файла). В случае unserialize такой опасности нет.
Также unserialize подходит, если конфигурационный файл поступает из ненадёжного источника (например, получается с другого сервера по HTTP и по пути может быть изменён злоумышленником; или, например, квалификации администратора недостаточно для редактирования PHP кода и он может допустить в нём ошибку в случае варианта с include).
Итог: в номинации "безопасность" побеждает unserialize.
