Eine weniger kritische Lücke betrifft die Funktion phpinfo(), durch die sich HTML-Code beispielsweise zum Auslesen von Domain-Cookies in die Ausgabe der Funktion einschleusen lasse. Diese Funktion sollte allerdings ohnehin nur in Testumgebungen eingesetzt werden.
Öh. Klar. Würde ich doch auf keinem meiner Server als info.php liegen lassen. Nene.
[Bin mal eben weg, muss mal was erledigen …]