这段代码会导致安全问题吗? 请问以下这段代码会有什么安全问题吗?<?phpif(isset($code)) { eval("\$html=\"$code\";");}?>$code的值是用户可控的。 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 eval 本身就是一个不太安全的函数 太危险了,$code 中只要出现一个双引号加一个分号,后面跟的内容就被当作 PHP 代码执行了。————————————————————————————————基于CSDN论坛提供的插件扩展功能,自己做了个签名档工具,分享给大家,欢迎技术交流 :) test.php?code=aaa";phpinfo();//这样就能执行phpinfo()了,不过这要求magic_quotes_gpc为Off,不知道gpc为On还有没办法执行代码呢? 对于很多的网站,实际上是magic_quotes_gpc是off的。 $code = '";unlink("index.php");'; 有 magic_quotes_gpc 当然好很多,但那个也只是处理 single-quote, double-quote, backslash and NUL's,如果用户写个 '{$secret_key}' 进去,你就可能泄漏敏感信息了。总之,危险可能来自各个方向…… hehe 嗯,magic_quotes_gpc为on时可以demo.php?code=${@phpinfo()}来注入代码。 php中怎么实现一个小时执行一次代码 如何实现该图的效果 设置开启窗口的开始坐标(x,y)不起作用? 串尾空格制表和换行无法显示 这种类型的网站用户权限控制,如何实现? 将Object转化为String通过页面传递 求一mysql存储过程 IT人为什么拿不到高薪(转贴) PHP新手小白遇到困难,特来求助在线等。dbconn()的问题 萌新报道~ 关于continue路过几重循环的问题 某个值和数据库匹配的问题
————————————————————————————————
基于CSDN论坛提供的插件扩展功能,自己做了个签名档工具,分享给大家,欢迎技术交流 :)
这样就能执行phpinfo()了,不过这要求magic_quotes_gpc为Off,不知道gpc为On还有没办法执行代码呢?
对于很多的网站,实际上是magic_quotes_gpc是off的。