简述PHP代码注入和命令注入的成因和危害

江小悠 22 0

PHP中eval、assert、call_user_func等会将字符串当作PHP代码执行,且没有对参数进行过滤。应用在调用 system等函数时会将字符串拼接到命令行中且没有过滤用户输入。
PHP注入会使攻击者执行任意代码 getshell从而控制网站或服务器。系统注入会使攻击者继承web服务器程序权限执行系统命令、读写文件、反弹 shell从而控制整个网站甚至服务器。

发表评论 取消回复
表情 图片 链接 代码

分享