1) Что мешает использовать touch -acfm и для сохранения веса файла - удалить пару тройку пробелов и переводов строк? (благо минимальный шел 19 символов). 2) Так как файл листа создается от имени апача - ничто не мешает его "исправить". 3) Следует из первого: например редактируя .htaccess в IPB - можно сделать вместо защиты от исполнения файлов - запуск с произвольным расширением (AddType application/x-httpd-php .gif) Заливай шеллы - в любом количестве З.Ы. Почему set_time_limit(0); нету?
Вы, конечно, правы, что защита у скрипта на достаточно низком уровне, НО...
Если не афишировать такую защиту, то велика вероятность, что чужак ее не заметит и не будет ничего править. Либо не будет иметь достаточно прав, чтобы это сделать. Те три раза, когда скрипт реально предупреждал о взломе - так и было. Поэтому новый файл (обычно - шелл) как правило, благополучно обнаруживается. Так что от кидисов защита достаточно эффективна даже в таком виде (при условии, что все настроено и админ периодически проверяет почту).
Если же думать в сторону защиты, то я предполагал в следующей версии сравнивать и хранить md5 хеши файлов.
Пустой файл листа можно закачать самому - от имени ftp юзера, а не апача.
По поводу 3: если у вас уже есть такой доступ, то сайт ваш Но если вы не обратите внимание на такую защиту - то ненадолго.
В принципе, в свое время (когда еженедельно появлялись дыры в phpBB) этот скрипт меня очень выручал, но сейчас я не знаю, стоит ли делать следующую версию (с md5 и тп) - надежнее написать скрипт с использованием md5sum, что я и собираюсь сделать как только дойдут руки.
А вообще - спасибо, особенно за set_time_limit(0) - пару лет назад я этого не знал , потому и не использовал.