[Vladson]

Вот я (пока) давольно слабо разбираюсь языке php, попробуйте дать совет чего следует избегать при написании модов, потаму что я в полном недоумении, как (в случае с уязвимостью версии 2.0.8 ) одна маленькая точка может натворить делов ?
В уязвимостях версии 2.0.7 я тоже понимаю не всё, но хоть немного

[Jovani]

Тут двумя словами не отделаешься, статью нужно писать
Кстати статей на эту тему много, можешь почитать например тут:
http://linux.opennet.ru/base/dev/secure ... g.txt.html

[Xpert]

Vladson
Вообще это те уязвимости, которые, хотя и являются часто критическими, на многих форумах вреда не принесут. Дело в том, что с версии php 4.3.0 переменная register_globals установлена в off. А управляет она интерпретацией переменных, передаваемых через формы GET/POST - конкретно, будут ли значения напрямую переданы в глобальные переменные или их можно будет вычленить только через массивы HTTP_GET_VARS/HTTP_POST_VARS (_GET/_POST). Касательно уязвимости в 2.0.8 - там переменная по умолчанию неинициализирована, поэтому если register_globals = on, то сначала ей будет присвоено то значение, которое ты передашь через командную строку (script.php?value=xxx например), а потом при помощи точки к ней добавится новая строка. Поскольку там эта точка вкралась в SQL-запрос, последствия могут быть плачевные.