|
Извиняюсь за пример c index.php... Но важность дыры от этого не меняется.
Во-первых, кто даст гарантию на то, что на сервере больше нет txt.php файлов?
Во-вторых, человек может захотеть использовать аналогичные расширения для include файлов - и это частое явление - а если их взять и просмотреть?
Понятно, что "хакеру" придется брутфорсить имена, но по словарю с правилами это не так сложно и не так долго. Да и сам владелец сайта может неявно помочь.
В-третьих, если человек, не дай бог, сделает fixed part как .php или .txt ?
Надо культуру программирования прививать смолоду - а из таких "мелочей" складываются дырявые продукты. И масштаб здесь не важен.
Ничего личного! Просто хочется чтобы человек осознал что пара строчек кода может застраховать от некоторых неожиданностей. И легче их добавить.
|