Хе-хе в том то и вопрос....Если бы Битрикс не вместе с пхп-ыми настройками дырявыми шёл, то и вопросов бы не было!
т.е. если бы они только свои скрипты предлогали без апача и пхп настроенных!!!!!

русским же языком сказано, сделай так и так и поставь систему, и сделано это в угоду производительности
ну а если уж человек ставит как попало не прочитав инструкцию а потом говорит что это дыра, то это проблема этого человека
ты б еще расшарил диск C: для полного доступа любого пользователя, а потом орал на каждом углу, что винду прохачил
выглядишь смешно!

скопирую свои слова из PM-переписки:

И еще добавлю: PHP mustdie

и хорош свою страничку рекламировать
называется найди 10 отличий
http://nemesisoftware.com/
http://secunia.com/
ну что сказать, русские хакеры, самые херакерные в мире

Да, насчёт этого плагиата уже было воткнуто кому надо и куда надо Скоро будет другой дизайн сайта...
Вебмастер мастерит круглосуточно

2 Pig Killer - бага движки.
То что её можно прикрыть настройками сервака, так я и SQL injection общесистемными настройками могу свести практически к 0.

еще один! гыыы

2offtopic: нуда, как не прикрывай, а если я в private зоне сайта сделаю web.config с:
у меня тоже будет одна большая дыра.

Хм. Видимо Вы так и не поняли, что я Вам хотел сказать. Еще раз, только уже подробнее...

Использование глобальных переменных в пхп считается нормальной практикой. Помимо этого, пхп предоставляет возможность изолировать их и это ОСОБЕННОСТЬ пхп.
Поэтому разработчик может воспользоваться этим для создания более быстрого и "прозрачного" для понимания кода. При этом, считается нормальным требовать от администратора установки определенных настроек (как и библиотек).

А аналогия с SQL-injection тут не подходит, т.к. magic_quotes_gpc не всегда спасает.

P.S. Не стоит спорить с очевидными вещами... а то может появиться мнение, что Вы не совсем компетентны в данном вопросе.