Нужен доброволец, для теста плагина для ВП

Если виной "поломки" урлов есть плаг - то конечно по 404 (или что там) вылетит.

Когда я работал в одном заведении, где технику безопасности (ТБ) сдавали каждые полгода (а инструктаж был каждый день) - там начальник по ТБ почти в точности повторял слова, услышанные мной много лет ранее от майора, ведущего у нас НВП (начальная военная подготовка): "Устав (ТБ) писан кровью и жизнью людей".

Ну т.е., конечно, можно и не выполнять - собственное здоровья и жизнь полностью же в твоих руках.

Вот, маленький шаг по борьбе с ленью )

На скрине не видно кнопку "CHECK";)

Да, без кнопки "CHECK" как-то не очень.)

Вообщем с учетом "union/**/select" код будет выглядеть примерно так

$test = urldecode($_SERVER['REQUEST_URI']);

$test = preg_replace('#/\*.*?\*/#', '', $test);

if(strlen($test) > 255 ||

   preg_match('/(eval|base64_(?:encode|decode))[\s]*\(/i', $test) ||

   preg_match('/UNION[\s]+SELECT|CONCAT[\s]*\(/i', $test) )

{

	@header("HTTP/1.1 414 Request-URI Too Long");

	@header("Status: 414 Request-URI Too Long");

	@header("Connection: Close");

	@exit;

}

Короче выкладываем, пусть народ пользуется: http://barlog.ru/pl

base64 можно ba'.'se64_d'.'ec'.'.... так обойти

...блин. :)

Есть смысл закрыть вообще все лишние расширения, типа .phtml .php4 .php5 .shtml .htm .html если на сайте (вордпрессе) их нет вообще? (закрыть в корне, в штаксесе) чисто что бы про них забыть?

Это можно обойти и стопиццот разными способами.

в каком смысле закрыть? если речь о форме для загрузки файлов, то правильней будет составить список разрешенных. так спокойней как-то

Если речь о ВП (а речь именно о нём;) ), то там логика - "запрещено всё, что не разрешено явно". Т.е. что бы загрузить файл не из списка разрешенных расширений для него нужно добавить это расширение