На wiki
http://ru.wikipedia.org/wiki/PHP-инъекция
прелагают вот так:
Проверять, что $module присвоено одно из допустимых значений.
<?
...
$module = $_GET['module'];
$arr = array('main', 'about', 'links', 'forum');
if (!in_array($module,$arr)) $module = $arr[0];
include $module . '.php';
...
?>
Проверять, не содержит ли переменная $module посторонние символы:
<?
...
$module = $_GET['module'];
if (strpbrk($module, '.?/:')) die('Blocked');
include $module. '.php';
...
?>
а какие еще способы существуют?
Изменил: Украина (11.01.2013 / 04:08)