自己先说一个,比如php的file_get_contents()方法,由于此方法支持传文件和网址。有些人理解不透,使用不当就会存在问题。 比如: <?php $url = $_GET['url']; $data = file_get_contents($url); echo $data; 漏洞利用,url传值:/etc/passwd 不做url格式判断,会导致下载服务器任意文件内容,导致敏感信息泄露。
<?php $url = $_GET['url']; $data = file_get_contents($url); echo $data;
21,887
社区成员
140,363
社区内容
加载中
试试用AI创作助手写篇文章吧