Вообще, я бы не стал забывать что на некоторых серверах registr_global может быть включен.
например файл index.php, строка 7
else $ModuleCurrent = $DefaultModule;
а где у вас объявлена DefaultModule? в конфиге? а конфиг где подключается? в строке 9?
получается что можно что угодно вписать переменной ModuleCurrent.
файлик panel.php
если открыть файлик как то так
panel.php?r_ip=1&modules['login'][0]=/etc/...
можно просмотреть любой файл на сервере.
больше не смотрел, может ещё есть не хорошие места. мб решусь поставить сервер локально и потестить на уязвимости, если что отпишусь)
вообщем желательно не рассчитывать на определённые настройки сервера при написании скриптов.
|