Nicca:
У меня есть такие строки в скрипте:
include(\'languages/\'.$lang.\'.php\');
где переменная $lang приходит из адресной строки. Реально ли мой скрипт взламать?
"Не ищи черного добермана в темном сарае, особенно если он там есть" (с) не помню кто.
Привыкай, что все входные данные надо проверять. Ну или хотя бы фильтровать. Добавь в код [p]basename[/p] и сразу от многих проблем избавишься. Ну и чтобы было более правильно - можно еще проверять, существует ли файл - [p]is_file[/p]