empty возвращает false, если переменная существует и имеет не пустое или не нулевое значение; true в обратном случае.

Т.е. если переменной нет или она есть и её значение пустое или нулевое. ->true

Отсюда вывод: однозначно существование переменной она не проверяет!

PS groundhog прав - проверяет на НЕПУСОТУ!
Т.е. если переменная не существует или её значение пустое или 0, то результат одинаков.

По поводу баги №6
А если в строку прописать stripslashes($_GET[php])&php=(тот_что_ты_показывал)

можно ещё и так:

Ага, а если я в кач-ве $module передам
../../../../../etc/passwd ?
или ты хочешь сказать, что при проверке is_file файла passwd функция возвратит false?

n1†R0x, ИМХО апач тебя пошлёт, он кажись не обрабатывает такие пути ну в смысле ты указываешь папку а потом из неё возвращаешся, нипаймёт он тебя modules/../../../../../etc/passwd

I-I()/Ib и groundhog
Красавцы, оба шарите, молодцы. Как говорится в споре рождается истина... обоим по +5 поставил

Вообще, как мне кажется, данную функцию будет обрабатывать PHP, а не апач. И мне не кажется в любом случае, что меня пошлют) разве что прав не хватит, но это уже другой разговор...
Если бы апач (точнее, пхп) посылал, не было бы php-инклудов. А относительные пути с движением вверх поддерживаются еще со времен ms-dos

n1†R0x, ты прав, при такой реализации:

Можно проинклудить незапланированное файло, ну, конечно, если не накладывается никаких дополнительных ограничений.

Да? Х_Х Ну а как от этого защититься-то?!
if(is_file("./modules/".$_GET['module'])) include("./modules/".$_GET['module'];
Так чтоли?