PHP双引号的隐患
PHP很多语法特性会让攻击者有机可乘,例如PHP会检测双引号中的变量。
执行如下代码:
1 function test() 2 { 3 echo "abc"; 4 } 5 echo "${@test()}"; 6 7 //或者 8 echo "${@phpinfo()}";
原理如下:
1 $a = 'b'; 2 $b = 'a'; 3 4 echo $$a; //a
以上就利用了PHP可变变量,双引号{}可解析双引号内的变量内容特性制造出来的小麻烦。
如果觉得这文章还算用心,请劳驾点击右下角的推荐,这是对我们这些做开源分享的最大的肯定,谢谢。
作者:zqifa
出处:https://www.cnblogs.com/zqifa/
欢迎访问新博客地址:https://www.l1mn.com/
本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接。