Лично я с такими дырами не встречался. Нигде и описаний толком нет по такой баге.
По умолчанию считается, что такую дыру в форме регистрации может оставить только лопух. И поэтому "простых" методов я не нашел.
Вот я и нарвался на такого лопуха судя по всему)
Есть ввод, не режет абсолютно ничего как я и отписал.
Это видно по выводу. Если влитьть произвольный текст с пробелами и знаками на выдаче в поле e-mail без изменений я вижу тотже текст.
Например влив
Код:
<? system($_GET[cmd]); ?>
на выдаче я получаю пустую строку в поле e-mail, но сам php-код без изменений виден в исходном коде страницы. Думаю пока как разрулить.
Это я в первую очередь пробовал.
Либо хостинг пишет, что выявлен опасный запрос и он естественно не выполняется, либо возвращается таже страница без изменений.