head tail backdoor?

Norejau paklausti tu kas naudoja e-gold zaidimu skriptus. Ar pas ka nors verify.php faile yra @extract() funkcija. Nes as tai gavau skripta nemokamai ir ten manau, kad gali buti koks backdooras padarytas (praradau gan nemazai $ del neapsaugotu kintamuju! Tiksliau, $amount kintamojo). Tai dabar reikia issiaiskinti ar ten originalaus skripto pazeidziamumas, ar kazkas backdoora pasidare.

Kiek suprantu @extract() funkcija ten visiskai nereikalinga ir siaip apskritai jos nepatariama naudoti del saugumo sumetimu.

Ir, beje, ar imanoma kaip nors pranesti, kad bent jau uzbanintu e-gold saskaita, to zmogaus kuris pavoge $ is manes. Zinau jo IP (turbut ne tiesioginis) ir EG numeri.

parašyk e-goldui laiška gražins password'a... man tas pats buvo...

Sveikas.

Pas mane ta funkcija tai lygtais yra.

Jo, šiaip tai, iš klaidų tenka skaužiai pasimokyti. Extract() yra gan pavojinga funkcija. Ją naudoti galima tik gerai apsaugojus kintamuosius, nes jų reikšmės lengvai įterpiamos. Aš tai perdariau skriptą - pridėjau kintamųjų tikrinimą naudojant regex'us (net ten kur to gal ir nereikia) ir išėmiau extract().

Tai dabar kol kas niekam nepavyko įterpti kintamuosius. Nors iš logų matosi, kad tų kurie bando tai padaryti yra daugiau negu tų, kurie žaidžia sąžiningai.