в том, что Apache, по крайней мере, не требует присутствия закрывающих символов <-->> для выполнения
указанной директивы, поэтому злоумышленник может добиться своего, просто введя строку <! --ftinclude
virtual="some. html".
Казалось бы, можно справиться с проблемой, <выкусывая> <!- (value =~ s/<! --//g,), но и в этом случае
остается обходной маневр: строка <!--!--^include virtual="some.html" в итоге преобразуется в <i--#include virtual^
"some. html".
. Достаточно безопасной можно считать конструкцию while(s/<!--//g){}, хотя и у нее есть свои минусы. Похожие