Столкнулся с интересной штукой - какой-то кулцхакер передает в HTTP_X_FORWARDED_FOR (или REMOTE_ADDR, но это маловероятно) sql-инъекции (например, 1; waitfor delay '0:0:4' --). Как у него это получается? Это какой-то известный баг в старой версии nginx? Или вообще не баг?