那些遇到过的问题

这个preg_replace是否可以利用?

-6 php exploit code-injection

我想利用这个preg_replace调用: 

$str = preg_replace($pattern, '__', $str);
Run Code Online (Sandbox Code Playgroud)

我可以控制$ str和$ pattern变量,但我不确定这是否足以注入任意PHP代码.有些想法?:)

lon*_*day 5

preg_replace仅在使用e修饰符时才可利用.这意味着该$replacement字符串被评估为PHP代码.由于您无法为$replacement远程用户更改,因此它不容易受到攻击.

归档时间:

查看次数:

1294 次

最近记录:

12 年,10 月 前
相关归档
使用Twitter API 1.1版检索user_timeline的最简单的PHP示例 287
ReflectionException:类ClassName不存在 - Laravel 43
将字符串转换为碳 35
什么会导致WordPress管理屏幕为空,除了导航栏? 32
使用PhpStorm在Docker容器中运行PHPUnit 31
php spl_autoload_register vs __autoload? 28
Laravel Carbon 如何在不改变小时的情况下改变时区 25
Libpuzzle索引数百万张图片? 22
查询构建器未插入时间戳 22
如何在Laravel 4中组织不同版本的REST API控制器? 20
难疑归档
C++中指针变量和引用变量之间有什么区别? 3115
403 Forbidden vs 401 Unauthorized HTTP响应 2544
什么是sleep()的JavaScript版本? 2115
将字节转换为字符串? 1968
为什么Python 3中的"1000000000000000在范围内(1000000000000001)"如此之快? 1890
用JavaScript比较两个日期 1791
在调用instanceof之前需要进行空检查吗? 1287
检查Bash shell脚本中是否存在输入参数 1223
为什么有两种方法可以在Git中取消暂存文件? 1109
Ukkonen的简明英语后缀树算法 1065