某人在我一个页面里留下了这个

miniloop · 发表于 2012-2-16 16:20:43

本帖最后由 miniloop 于 2012-2-16 16:31 编辑

黑阔厉害啊，尼玛查半天终于知道他是怎样搞的了。
由于我装系统的时候就禁用了eval，他不可能用，网上查了半天知道了
assert也可以直接执行php代码。
现在在本机模拟了下。

建一个post.html

复制代码

再建一个test.php

复制代码

这个post.html在任何电脑上运行都可以，只要action的地址是那个test.php.

在输入框里输入： phpinfo();
尼玛 phpinfo就直接出来啦，太可怕了，这可以为所欲为了啊

金关村村长 · 发表于 2012-2-16 16:22:37

很厉害的样子

副站长 · 发表于 2012-2-16 16:24:38

这个得收藏。

mb2004 · 发表于 2012-2-16 16:31:14

提示: 作者被禁止或删除内容自动屏蔽

edear · 发表于 2012-2-16 16:32:07

本帖最后由 edear 于 2012-2-16 16:40 编辑

厉害刚测试了下确实如此

百度 · 发表于 2012-2-16 16:41:04

额，php语句不过滤掉？还可以留言出来？
还可以执行？
开玩笑吧。

October十月 · 发表于 2012-2-16 16:41:43

都是大黑阔……

skycms · 发表于 2012-2-16 16:43:20

后门你懂的

oldghost · 发表于 2012-2-16 16:47:59

太可怕了

xspoco · 发表于 2012-2-16 19:23:29

牛逼..

		自动登录	找回密码
密码			注册