Сообщение от Nexus
|
|
..., если гениальный разработчик не подгрузит картинку функцией include и ей подобными.
|
А при чем тут картинка? includ'ом можно подгрузить все, что угодно, хоть простой текстовый файл, и если там будет <?php вредительский код, то без всяких картинок...
Насколько я знаю, сейчас у сервера есть две разные настройки, allow_url_fopen и allow_url_include вторую надо безжалостно запрещать, раньше была только первая, и если ее запретить, то нельзя было скачать файл по http функцией file_get_contents, а если разрешить, то и поинклюдить можно. Сейчас разнесли, что правильно...