我只是想知道,是否可以像注入mysql
一样注入php
。我对sql injection
是如何实现的有一个大致的想法,并且已经在开发环境中成功地实现了它。所以我只是想知道php是否也可以被注入。
尽管我自己也有一种直觉,认为情况不会是,因为即使尝试了,也更像是试图注入一个mysqli准备的声明。
不!我不是在谈论将javascript
注入到输入中,我是在谈论通过input/GET/POST的纯php.html注入就像停止当前php代码的执行并在两者之间插入自己的代码
是的,这可能是可能的。如果您使用eval((或输出缓冲来生成输出,并且在将其提供给模板解析器之前没有正确地转义数据库中存储的值,则可能会执行中的PHP代码。
如果您在模板中使用纯PHP,则风险相当高。