Хабр сегодня сделал мой день:

Получил следующее письмо



Для тех, кто не помнит PHP наизусть: assert() исполняет строку, поданную на вход.

А дальше всё бы началось с функции "phpinfo" (выводит информацию о текущей конфигурации PHP: настройках компиляции PHP, о расширениях, о версии, информация о сервере и среде выполнения (если PHP компилировался как модуль), окружении PHP, версии ОС, о путях, об основных и локальных значениях настроек конфигурации, о HTTP заголовках и лицензии PHP):

А уж чем бы закончилось (учитывая то, что вы сами дали взломщику возможность хозяйничать у вас посредством методов GET, POST или COOKIE, не смущая его экранированием символов)...

Что огорчило: взломщик не сумел в html-верстку, и побоявшись, что его код изувечит браузер/почтовый клиент, начал городить лишние сущности "*В