1. Человек в адресной строке должен ввести &token , чтобы работало.
2. token должен быть равен сессии, чтобы работало.
-
Это не вирус, потому что не данные воруются, а предоставляется определённый функционал. Обычный аякс, который передаёт данные на страницу и возвращает содержание.
Либо это safe-mod, любой debug-mod (в котором будет в блок выводиться дополнительная для дебага инфа, что сделано вполне разумно), либо дырка, через которую будет подгружаться контент админки даже ВНЕ авторизации админа, то есть свободный доступ к модулям даже если клиент тупо поменяет пароли от программиста. Тоже верный способ, ещё бы добавить несколько мега-крутых проверок на доступ и всё, программист безопасно будет иметь доступ на сайт, даже когда заказчик плохо себя ведёт и решит удалить аккаунт админа или поменять ему пароль, чтобы программист не совался больше туда.
На 90% уверен, что функционал вполне нормальный данного участка кода. Ещё 9% оставляю на то, что это подстраховка от кидалова от программиста. Лишь 1% на то, что всё же всякое может случиться.
_____________
Обучаю веб-программированию качественно и не дорого:
http://school-php.comФрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).