后续
疫情过后开学,在校的某个周末…晚上又闲的没事干。又打开了老师的网站,这次仔细看了一遍目录…突然看到一个连接数据库的php。
写了段查看文件的代码,来看看
!!!去phpmyadmin登录看看。。
发现数据库还有其他站点的数据,一看全是教师0.0,去某网站解密了一下密码,发现是sha1加密…(sha1很多都已经被字典破解了)
最后又找到了后台以及考试系统的备份压缩包…
用eval运行他人代码,非常危险。我个人觉得利用docker运行代码比较安全,网上查了一下,发现已经有开源的答题系统 Judge0
https://my.oschina.net/suncf/blog/4257003
菜鸟教程用的就是Judge0
总结
1.禁用 phpinfo,fopen ,opendir,system等危险函数,配置open_basedir
2.对用户密码加盐再进行加密
3.不要把备份等重要文件放置在www目录