Cita:
Iniciado por NueveReinas 
Un GET sin anti-XSS (y otros filtros) es como un ordenador sin antivirus.
¿Aunque no use esa variable para escribir datos o llamar un script include?
¿o sea simplemente ejecutan un código por GET tipo eval y ya?
¿Es decir esto puede crear un archivo y modificar otros?