И снова обращаю ваше внимание на то, что если директория /color/hole.html существует, а /color/hole.html/cyan не существует, то по адресу /color/hole.html/cyan/1.html мы получим ошибку 404.

Ограничения

Вы видите, что сценарий или скрипт можно запустить не только «напрямую» (как /cgi-bin/forum.cgi), но и многими другими вполне доступными способами. И кроме традиционно используемой переменной QUERY_STRING сервер создаёт множество полезных переменных, но не забывайте, что использовать их надо не менее осторожно, чем QUERY_STRING.

Даже мои небольшие примеры не лишены изъянов. Так, я довольно опрометчиво встраиваю в HTML-код, создаваемый SSI-процессором, такие переменные, как PATH_INFO. Подобные переменные задаются удалённым пользователем. Не исключено, что он сформирует такой адрес, по которому будет выдаваться HTML-документ, оснащённый вредоносным JavaScript-кодом или иным аппаратом (иногда для осуществления атаки оказывается достаточно считаных байт). Таким образом злоумышленник может скомбинировать адрес, наделяющий ваш ресурс вредоносными свойствами. Никогда нельзя использовать напрямую переменные, значение которых определяется удалённо.

Следует отметить, что описанный подход, будучи реализован в чистом виде, практически полностью исключает возможность обработки форм. Это большой минус, но ни один из перечисленных приёмов не лишает вас возможности использовать переменную QUERY_STRING или REDIRECT_QUERY_STRING и обрабатывать формы, отправленные методом GET. Также к любому сценарию можно обратиться методом POST. Но самое главное, существует широкий круг задач, ограничивающихся организацией навигации и не предполагающих работу с формами (от лент новостей и фото-галерей до веб-каталогов). Именно в этих случаях наиболее оправданно применение подходов, описанных в настоящей статье.