napadaju ma 2 moznosti ako tomu zabranit. vlozeniu obrazku s php kodom sa sice neubranis(bolo by pomale a neefektivne parse-ovat obr.(avatar) na php kod pred vlozenim do user profile) ale mozes zabranit aby sa nevkladal do include iny kod ako tebou povoleny. skratka by si testoval pripustnost alebo nepristupnost parametra ziskaneho z GET napr. na cestu. mne sa ani tento sposob nezda moc efektivny(zbytocny if) a riesil by som to uz na urovni php enginu, ze by som v php.ini nastavil len povolene include_path. myslim ze tato ochrana by mala byt dostatocna.