Посторонние включения в якоря
 

Обнаружил тут интересную проблему:
при использовании realurl для нормальной работы якорей необходимо включать prefixlocaleanchor=all
в этом случае якоря парсятся и к ним добавляется адрес страницы.
при этом если к адресу добавить произвольный набор переменных, он тоже плюсуется к адресу якоря

пример: имеем якорь #top
на корневой странице сайта site.ru/ приписываем в адресной строке что-то вроде ?[VALUE]=data и получаем в итоге в коде страницы ссылку якоря ?[VALUE]=data#top

и все бы ничего, но, к примеру, при использовании fl_staticfilecache и одновременном кэшировании страницы эта ссылка в коде ложится в кэш и выдается стороннему посетителю при запросе страницы site.ru/ без всяких добавок!
ситуация реальная - нашел несколько таких ссылок после попытки зафлудить сайт с хак-серверов. ссылка-якорь при запросе страницывыдается как site.ru/?value=http://адрес.хакерского.сата.com#top

что-то вроде пассивного xss. в принципе, неопасно, но, как я понял, используется при серой раскрутке, так как дает в коде страницы адрес ресурса.

однако, нашел в мануале к fl_staticfilecache вот такое заявление:

Important detail: SimulateStaticDocuments or RealURL is needed, because no pages are cached where a GET or a POST Parameter is there

видимо, таки баг