در حالی که این مطمئناً آسیب پذیری امنیتی است ، من این را به عنوان "بدترین کاری که هر توسعه دهندگان می تواند انجام دهد" ارزیابی نمی کنم. فقط به این دلیل که می توانید یک فایل PHP را بر روی یک سرور دریافت کنید ، به معنای اجرای فایل PHP نیست – این سرور به خودی خود باید به گونه ای پیکربندی شود تا در واقع آن را شناسایی کند که پرونده های PHP و اجرای آنها باشد. اگر سرور در واقع PHP نصب نشده باشد ، یا اگر فقط پرونده هایی را مانند PHP پردازش می کند اگر پسوند خاصی از فایل داشته باشد ، یا اینکه سرور به گونه ای پیکربندی شده باشد که پرونده های این فهرست قرار گیرند باید همیشه بارگیری شود.
احتمالاً یک یا چند مورد از این موارد صحیح است.
بنابراین سوال اینجاست: آیا دلیلی برای انتظار دارید که فایل پی اچ پی شما باید تحت این شرایط اجرا شود؟
اکنون قادر به دور زدن چک های پرونده بر روی بارگذاری هنوز می توانید برخی از مزایای آن را داشته باشید. به طور خاص ، این امکان را برای شما فراهم می کند تا جاوا اسکریپت خود را به میزبانی سرور آنها بدست آورید ، که اغلب می تواند راهی عالی برای دور زدن سایر محدودیت های امنیتی باشد. این یک داستان بسیار طولانی تر است.
