Ест ли такой способ, скачать cgi и php скрипт, ведь это такойже файл, как и все другие, почему скачивается страница, а не сам скрипт?

Во, ми-не, идиоту, это тоже очень интересно :).  *А то в мануалы лезть некогда, а *.php заполучить хот-ца.

Не! ничего у вас не получится! т.к. даже если вы запрашиваете *.jpg сервер сначала посмотрит в своих конфигах в каком виде его вам доставить...

и ещё: если ссылка ведёт на *.html это тоже не гарантирует, что страница не является динамической и не будет сгенерирована тем же PHP

Хм... а что если его удаленно включать (include, include_once и тд.) в свой скрипт, потенциально файл который содержит переменные (скажем паролики на подключение к БД) даст злоумышленнику все, что ему нужно... правда закрыть эту фишку тоже можно.

Жалко что так, а может есть проги для эого? И желательно что б это взломом не считалось!

Prisoner

У меня на папке стоит .htaccess с параметром  deny from all,
внутри сервера я без проблем вставляю файлы из этой папки в другие файлы с помощью include,  а может кто то другой вставить файл с моего сервера себе при помощи  include???

vadimiron
угу... я тоже задаюсь этим вопросом :\. Можно конечно запретить чтение файлов всем кроме юзера из под которого выполняется php скрипты... но думаю можно и силами апача это сделать.

PS будет премя задам сей вопрос в Безопасности на этой конфе.

Добавлено:

Хм... прочитал пост AT, подумал, почитал мануал по PHP и вот  что вычитал про include:

Если "URL fopen-оболочки" включены в PHP (как в конфигурации по умолчанию), вы можете специфицировать файл, подключаемый с использованием URL (через HTTP), вместо локального pathname. Если целевой сервер интерпретирует целевой файл как PHP-код, переменные могут передаваться в подключаемый файл с использованием URL-строки запроса, как в HTTP GET. Строго говоря, это не то же самое, что подключение файла и наследование им области видимости переменных родительского файла; ведь скрипт работает на удалённом сервере, а результат затем подключается в локальный скрипт.


Так что живем...

Развели, блин, флейм тут... Никоим образом невозможно прочитать код файла PHP с другого сервера. Да и сос воего тоже... Он сначала выполнится, а только потом проинклудится, откроется (fopen) и т.д.