есть такая российская цмска, NetCat называется, и у меня есть про неё три истории

история первая. на РИТе был этого НетКата стендик, и мне там слегка продемонстрировали возможности системы. оказывается, у НетКата шаблоны дизайнов (смесь хтмля и пхп) хранятся в базе данных, и редактируются прям из админки, через текстарии. то есть приходит HTTP-запрос к сайту, НетКат бежит в базу за шаблоном, парсит его (%Header% и т.д.), потом eval-ит его и отдаёт результат юзеру. "и как вы эту колбасу, кэшируете?" — спрашиваю. "да нет, он так каждый раз и бегает, — отвечает мне товарищ разработчик. — а зачем кэшировать?"

история вторая. на сайте НетКата заинтересованным лицам дают поиграться в демо-версию продукта, предоставляя на три часа доступ к сайту в самой крутой конфигурации Extra. всё замечательно, отличная идея, только вот одно но: ничто не мешает в вышеупомянутые шаблоны вставить свой произвольный пхп-код и, например, почитать phpinfo() сервера. или исходники НетКата. или завести себе на три часа бесплатную зомби-машину на мастерхосте. понятное дело, что формально это не является уязвимостью НетКата, потому что такие упражнения на собственном хостинге с собственной копией цмски будет делать только полный долбак — но высовывать такие "возможности" на своём демо-сайте как приманку для скрипт-кидди, мягко говоря, глупо

ну и третья история. вышеупомянутая конфигурация Extra (доступная, напомню, при небольшом нажиме к свободному скачиванию с демо-сайта) стоит 32 тыщи рублей