Безопасность include()

[Псих]

Сразу оговорюсь о двух вещах:
1. Я php учу 5й день всего. Тоесть знаний уменя даже на детское ведро не наскребешь.
2. Поиск смотрел, ничего не нашел.

Внимание вопрос:
Прочитал в апрельском ][ , что плохие парни юзают include() open() моего кода, чтобы методом изврата запроса получить /etc/passwd и другие интимные места.
Тоесть, если моя правильно понял, если я вывожу текст из txt или html

Код:

<?include "news.php"?>
----------
news.php:
$NewFile="news.html";  
echo $news;

файла, это не важно, то получить nobody, а вскоре и root просто до немагу? Или как?

PS Говорю же.. тока начал учить!

Спасибо!

[RaZEr]

Цитата:

что плохие парни юзают include() open() моего кода, чтобы методом изврата запроса получить /etc/passwd и другие интимные места.

Когда к скрипту идут аргументы вроде index.php?sect=general/news.html, то при кривых руках веб-мастера туда удаётся пропихнуть index.php?sect=/etc/passwd

Цитата:

файла, это не важно, то получить nobody, а вскоре и root просто до немагу? Или как?

Получишь ты только те файлы, к которым есть доступ. В частности ты не получишь файлов других пользователей без доступа на чтение группе/всем, и возможно вообще не получишь ничего выше папки сприпта, если включн safe_mode

Цитата:

Говорю же.. тока начал учить!

Так надобно в Ebooks заглянуть.

[Псих]

Книги то я читаю.. просто по не знанию возник вопрос.
Тоесть, как я понял, я могу спокойно юзать код такого типа

Цитата:

Псих:
<?include "news.php"?>
----------
news.php:
$NewFile="news.html";
echo $news;

ничего коварного он в себе не несет?

[RaZEr]

В чистом виде - нет.