我刚刚发现你可以<!-- -->在PHP中使用括号以不安全的形式注入命令.我在PHP中找不到关于这些括号的任何信息.我知道它们在XML结构中使用.我尝试谷歌搜索谷歌简单逃脱这些括号.
它们与/* */PHP中的注释相似吗?
编辑:这是我发现的地方. http://nacereddine.wordpress.com/2008/10/02/hack-this-site-basic-8/
<-- 开始HTML评论.
--> 结束HTML评论.
早在PHP获得今天享有的主导地位之前,Web开发人员就想要获得Web服务器产品动态内容的方法,而无需学习如何编程.导致了服务器端包含(SSI)的发明.您将使用以下语法调用SSI
<-- #ssi-directive-name list="of" the="paramaters" -->
Run Code Online (Sandbox Code Playgroud)
其中最常见的是<-- #include ...指令,它允许您包含另一个文件的内容.选择HTML注释语法,以便指令可以包含在HTML文档中,并且仍然被视为有效的HTML.
即使在那时,该#exec指令的使用也不受欢迎.有人认为,在服务器上启动Web请求启动只是在寻找麻烦.也就是说,链接的文章写得太可怕了.为了使用SSI来破坏服务器上的密码,您需要在服务器上创建文件的权限(被黑客入侵或被授予权限).这里的安全漏洞并不是支持SSI的exec(尽管它不应该打开),而是支持用户首先访问机器的其他漏洞.
如果不清楚,这与PHP无关.