Se sigue pudiendo hacer lo que dije de motrar otros archivos php del host.

Bueno, esta vez necesito poder hacer un
include("{$_GET['a']}.php");

Como sé que es peligroso de la hostia, quiero limitar las posibilidades (lo he hecho por php.ini, me gustaría saber como taparlo desde el php mismo)
Lo primero que he hecho es prohibir includes externos o sea que los http hacia shells ya no son posibles.

Como al hacer una prueba, he podido incluir otros archivos no deseados de mi host (../ejemplo) he hecho esto:
$_GET['a'] = ereg_replace("/", "", $_GET['a']);
$_GET['a'] = ereg_replace(".", "", $_GET['a']);

Esto teoricamente evitaría el uso de . y / pero ahora lo que me pasa esque me salta con que no existe ninguno de los archivos que hago include con normalidad y los cuales no tienen ningún . ó /  .
Que domnios estoy haciendo mal ?

Sí, de ahí sacaron la tabla de users y loguearon a /admin/, luego le dieron a editar noticias y plim . Por eso no entiendo por qué aún no ha sido arreglado, no se habrán dado cuenta?

Joder, lo raro esque no lo hayan solucionado aún, con lo simple que debe ser.

Pensaba que este tipo de páginas las revisaban un poco.

Teníamos el receptor wifi y el sniffer encendido, pero juramos que no era de forma voluntaria, ni sabíamos que teníamos que darle a iniciar al sniffer y luego guardar los datos en en forma de GOOGLE-VICTIM-XXX.log . Como íbamos a saber eso nosotros.

Nunca hago includes del tipo include($archivo); ni tengo uploader, siempre obligo a que pongan si acaso la URL de una img

Gracias, por donde me la podrían haber colado?

Seguro que tengo más errores pero no se como buscarlos.

Hola,
haciendo pruebas he visto que mi sitio no filtra los tags htm, se podría haber subido una shell de algún modo?

No, lo que pasa es que acusarán a microsoft de mala competencia y le obligarán de nuevo a dejar al usuario a que elija. como con el navegador.

5 millones de dólares? Si tanto apreciase Linux, se encargaría de que Sony volviesa a ponerlo y no de cobrar.