Рекомендуем почитать:
Хакер #305. Многошаговые SQL-инъекции
Программа: ESPG (Enhanced Simple PHP Gallery) 1.72
Уязвимость позволяет удаленному злоумышленнику получить несанкционированный
доступ к конфиденциальной информации на целевой системе. Уязвимость существует
из-за ошибки в проверке входных данных сценарием comment.php. Атакующий может
получить несанкционированный доступ к конфиденциальной информации на целевой
системе.
Эксплоит:
http://[t4rg3t]/gallery/comment.php?file=../../TARGETFILE.php