Форум PHP

Вы случайно не в семинарии учились?:)
Я предпочитаю более компетентные источники информации.

ps рекомендую не размещать на странице сторонных счетчиков, а банерообменники - просто опасны! Так как работают как раз по описанной вами технологии. Как вы там говорите: лучше лишний раз обезапаситься! Еще можно в .htaccess прописать deny from all - довольно надежное средство!

Loki самоуверенность страшная штука, а не уверенность иногда помогает жить!

Иногда лучше лишний раз обезапаситься, чем потом исправлять последствия.

Поговоривают, что правда, но никто такого файла пока не видел.

Раз уж вы делаете такие громкие заявления - объясните чем это опасно.

PS прежде чем дать ответ, подумайте над тем, что приведенная вами конструкция используется в двух приложениях из трех. В частности, на этой странице она использована, как минимум, дважды. Теперь жадно слушаю о таящихся в этом опасностях!:)

опасно, если в код будет всталена такая строка:

<img src="script.php">

Где я читал про такую дыру, когда под файлом типа jpg или каким-нибудь другим закачивают php сценарий.
Помоему даже наши любимые авторы это писали в своих работах.

и чо? еще надо чтобы сервер был на строет для исполнения jpg фалов аки php... а таких извращений я не встречал... да и если встречу, то мне, на клиентской стороне, это ничем не грозит.

Ну не внутри! Может быть РНР файл сохранен под названием типа image.jpg
Поэтому нужно проверять загружаемый файл по его заголовку, а не по расширению.

Правда ли, что внутри файла JPEG может быть встроен код PHP, который потенциально может представлять собой угрозу серверу?