在php中获取url内容的安全性

根据您的描述,您的服务器可以作为某种中介,从提取的HTML内容中提取特定的子内容.
即使获取的内容包含恶意代码,您的服务器也不会执行它,因此您的服务器不会受到任何伤害.

此外,因为您的服务器只提取特定的子内容(如您所说,Open Graph元标记),
所有其他不是您在获取的内容中寻找的东西都会被忽略,
这意味着您的用户将受到自动保护.

因此,在我看来,没有必要担心.
当然,这依赖于内容提取过程是健全的假设.
有人应该看一看并确认一下.

does curl_exec actually download the full file to the server?

这取决于你的“完整档案”的含义.
如果您的意思是“整个HTML内容”,那么是的.
如果你的意思是“包含feched HTML内容可能引用的所有CSS和JS文件”,那么没有.

is it possible that viruses or malware be downloaded when using curl?

答案是肯定的.
获取的HTML内容可能包含恶意代码,但是,如果您不执行它,则不会对您造成任何伤害.

同样,我假设您的内容提取过程是合理的.