AlkatraZ (SV!) [Off] [#] (19.04.2009 / 18:00) Уездный предводитель Каманчей

Как Вы знаете, для любой операционки есть зарегистрированные типы расширений.
.EXE - исполнимый файл
.JPG картинка
.TXT - текстовый файл

Ну и далее, в этом роде гг. В реестре операционки прописывается "действие", которое она должна предпринять, если юзер выхывает данный файл.

Аналогично, в Apache, для юзеров, что к нему подключаются, есть свои зарегистрированные типы файлов.
.HTM
.HTML
Это обычные текстовые HTML файлы, которые нужно выдать пользователю в таком виде, как они есть.
---
А вот с PHP и другими скриптами (JSP, PL, PY, ASP и другими) дело не так просто. Это, так сказать, скрипты, интерпретируемые файлы.
Они не являются родными для самого Apache, но в то же время, являются родными для расширений сервера (PHP одно из них)
---
Казус заключался в том, что к примеру:

index.php.bur по идее является файлом с неизвестным расширением .BUR
Логично, что сервер его не должен обрабатывать и выдавать в браузер как простой текстовый, или двоичный файл.
Но, почему то, в Apache 2, решили, что если неизвестно первое расширение, сервер будет обрабатывать следующее...
Да... откровенно ебланская ситуация (тот файл .bur что я привел выше, будет обрабатываться как РНР) привела к тому, что возникли уязвимости.
То есть, JohnCMS на Apache 1.x работал без проблем и уязвимостей, но на Apache 2 возникала серьезная брешь...

Потому и пришлось, жосско ограничить число расширений и их тип.