Ciekawostka z eval() - Forum PHP.pl

Ciekawostka z eval(), Czyli jak gold farmerzy z WoW próbowali się zabezpieczyć

paziek Zobacz profil	9.02.2010, 14:33:02 Post #1
Grupa: Zarejestrowani Postów: 207 Pomógł: 25 Dołączył: 16.11.2006 Ostrzeżenie: (0%)	Witam, Otóż znajomy próbuje stworzyć stronę WWW dla swojej gildii (czy jak to się tam zwie) z Word of Warcraft i poprosił mnie o usunięcie ze stopki linków prowadzących do tzw. gold farmerów (sprzedających złoto w grze za prawdziwe $$$). Mniejsza o to gdzie znalazł skrypt strony, ciekawe było to co znalazłem w pliku, który jak sądziłem odpowiadał za stopkę: http://codepad.org/mBdp9w7o (niestety nie da rady tutaj tego poprawnie wkleić) Oczywiście mogłem po prostu skopiować wygenerowany HTML, ale może coś tam siedziało, co było potrzebne do prawidłowego działania strony... no i sama ciekawość kazała mi to rozpracować. Koncepcja tego mechanizmu jest dosyć prosta, aczkolwiek autorzy dodali tutaj mały gratis, który może mniej ogarniętych programistów odstraszyć (IMG:style_emoticons/default/smile.gif) Pamiętajcie o niebezpieczeństwach eval() !

Odpowiedzi

erix Zobacz profil	9.02.2010, 15:38:35 Post #2
Grupa: Moderatorzy Postów: 15 467 Pomógł: 1451 Dołączył: 25.04.2005 Skąd: Szczebrzeszyn/Rzeszów	To nie jest niebezpieczeństwo eval, tylko dziurawy skrypt. Takie coś dodają trojany skryptowe i odpalają to, co prześle serwer sterujący. RFI się to chyba nazywało, nie jest bezpośrednio z eval związane, tylko z brakami w bezpieczeństwie projektowanych skryptów.