Ох, не зря я не люблю это ваше похапе

[dil]

ТАК лохануться — это уметь надо.

Для проверки уязвимости добавьте в конце урла ?-s
Если вместо выполнения скрипта вы увидите его исходник, то всё, приплыли. К счастью, работает оно не везде, а только если PHP установлен в виде обработчика CGI. На FastCGI и mod_php это вроде бы не распространяется.

Оригинал этой записи в личном блоге.

Comments

[pash7ka.livejournal.com]

Я думаю, таких странных людей, которые в продакшене используют PHP-CGI в природе нету... А если есть - руки поотрывать.