кто ломал xoops тот знает, что шаблоны не на пхп залог безопастности.
еслиб там были пхп шаблоны залить шел несостовляло бы труда!!!
так, что уважаемые гуру, вот вам пример положительной стороны не ПХП шаблонов.

или Вы считаете что xoops пишут лохи?
- - -
таким образом, если в модуле к движку нашли иньекцию, шелл не залить!