Разное

В общем в сообщения форума пихают вот такой код.
код в прикрепленом файле.
подскажите как это может отразится на форуме и как с этим боротся ?
какие последствия вообще могут быть ?

Этот код пытается выполнить команду ls -la, т.е. прочитать содержимое текущей директории, у вас прикреплённые файлы с расширением PHP не выполняются на сервере, если нет, то беспокоится не о чем - файл не будет выполнен (скорее всего system() тоже не сработает).

так, примерно понятно, но все таки как это протестить на форуме на вский случай срабатывает этот код или нет ?

Сами запостите такой же код :))) или чего попроще

<?php   echo "Hello world!";   exit(); ?>

PS Какое расширение имеют прикреплённые PHP-файлы? Переименовываются они в TXT или что-то другое?

а я не пойму какое отношение имеют прикрепленные файлы к постингу ?
РНР файлы вообще не проходят если пробовать куда угодно прикрепить РНР файл выдается сообщение, файл имеет запрещенное расширение.

Если знать имя файла и где он лежит на сервере, а потом перейти по ссылке к этому файлу и его можно будет запустить в браузере, зломышленик сможет выполнить свой код. Он с каким разрешением файлы помещает?

этот код не в файлах размещают, а просто постят в сообщениях.
форум инвижн, к примеру у меня стоит присылать уведомление если кто то ответил в теме, приходит письмо в нем примерно так,
пользователь ххх ответил в теме хххххххххххх
текст ответа
--------------------
этот код


иду смотрю что там, выглядит примерно так
какаой то ответ и потом код.
но код в теме если просто смотреть не виден, он написан под цвет фона.
в общем я пробовал писать этот код в посте, нечего не выдает, просто выводит его как текст.
но все таки вот решил спрсить на всякий случай, может его как то еще можно запустить если он к примеру в базе лежит в теле сообщения.

А тогда ничего страшного, плохо, когда кода не видно и он выполняется.

ок
спасибо.
значит можно считать что их эксперементы с кодом неудачные и результата не дают.