-7

この preg_replace 呼び出しを悪用しようとしています:

$str = preg_replace($pattern, '__', $str);

$str 変数と $pattern 変数の両方を制御できますが、これだけで任意の PHP コードを挿入できるかどうかはわかりません。アイデア?:)

4

1 に答える 1

5

preg_replacee修飾子が使用されている場合にのみ悪用可能です。これは、$replacement文字列がPHPコードとして評価されることを意味します。リモートユーザーがを変更する方法を提供しないため、$replacementエクスプロイトに対して脆弱ではありません。

于 2013-02-04T23:15:15.160 に答える