cosc пишет:В форуме оказывается нету проверки пути, откуда отправляются данные.
А это не проверишь! То есть проверить откуда пришла форма можно только через Refferer, но многи юзеры просто отключают его и на сервер этот заголовок не приходит. Более того этот заголовок подделать очень просто и поэтому надежды на него нет абсолютно!
goa пишет:а проблема не может быть в том, что форум установлен на платформе IIS?
Честно?! Без понятия, во всяком случае сейчас!
cosc пишет:Да, но проблема была решена, если я правильно понял тем, что теперь не закачать такие файлы под видом аватар, а возможность же запустить таким образом уже закачанные аватары (или другие скрипты с расширением .jpg) осталась.
В том, то и дело, что то что описывается в статье, а именно подстановка неправильного пути, закрыто. А загрузка файлов кроме расширения которое указано в админке, сделано давно и его пока не обойти! Во всяком случае при загрузке.
Я вот тут дописываю новую версию и все подобные возможные дырки закрываю. Вобщем думаю через пару недель сменю движок здесь на форуме, потестим и выложу на скачку.