m0nzt3r да, там просто отсутствует проверка на существование файла (надо будет добавить) но полюбе кроме цыфр переменная $post ничего не воспринимает, так что там копать бесполезно.
Скуля тоже быть не может за отсутствием самого скуля база текстовая.

ЗЫ для того кто пытался вставить линк через [URL] - тоже бессмысленно. Форматирование ссылок идет при добавлении коммента в базу через preg_replace() .

Кстати возможно есть xss в http://www.4077.ru/fullnews.php?post=5&commenterror=LOL#textarea
$commenterror пишется внизу над формой, и фильтруется от html кодов.