preg_match和preg_match_all对于PCRE回溯次数限制

 

 

 

 两种方式调用，通过以下方式调用，结果一致。

 

当次数超过10w次后，都是return false。可利用pcre绕过很多，白盒审计时需注意preg_match和preg_match_all这一点。

使用时注意使用===进行类型比较。

 

参考：https://www.leavesongs.com/PENETRATION/use-pcre-backtrack-limit-to-bypass-restrict.html?page=2#reply-list