U mom slučaju, ovo ne mora da bude nikakva opasnost. Evo i zašto:
CMS koji pišem deli korisnike u kategorije. Svaka kategorija ima svoj direktorijum. Svaki pokušaj da se pristupi bilo kom skriptu kategorije se rigorozno proverava. Ukoliko se pokaže da onaj ko zahteva skript nije ulogovan - brutalno biva izbačen napolje :))
<?
provera da li je ulogovan();
if (jeste) {
?>
Ovde ide sve sto se prikazuje i obavlja...
<?
}
else {
Header("Location: ../index.php");
}
?>
E sada, ovaj skript, koji bi pozivao sistemske komande se nalazi u modulu koji pripada samo najvišoj kategoriji, Administratori. Iako je malo verovatno da će neko od njih da se igra sa CMS-om, ipak je i funkcija system(); tako postavljena da je nemoguće ručno joj dodeliti parametar za brisanje...
Da li postoji neki sigurnosni propust koji sam ovde prevideo? (ako je moguće utvrditi nešto iz ovako grubog opisa).
*************************************