我刚刚发现你可以在PHP中使用<!-- -->括号来以不安全的形式注入命令。我无法在PHP中找到有关这些括号的任何信息。我知道他们用于XML结构。我尝试了谷歌搜索,但谷歌简单逃脱那些括号。<!-- -->在PHP中的注释括号
它们是否类似于PHP中的/* */评论?
编辑:这里是我发现的地方。 http://nacereddine.wordpress.com/2008/10/02/hack-this-site-basic-8/
<--开始HTML评论。
-->结束HTML评论。
在PHP获得了今天的主导地位之前,Web开发人员希望有方法让Web服务器产生动态内容,而无需学习如何编程。导致发明Server Side Includes (SSI)。你会调用SSI与下面的语法
<-- #ssi-directive-name list="of" the="paramaters" -->
中最常见的是<-- #include ...指令,它允许你包含另一个文件的内容。像语法这样的HTML注释被选中,以便指令可以被包含在HTML文档中,并且仍然被认为是有效的HTML。
即使在当时,#exec指令的使用也不受欢迎。有人认为,在服务器上启动Web请求启动流程只是要求麻烦。这就是说,链接的文章是可怕的书面。为了使用SSI来破坏服务器上的密码,您需要在服务器上创建文件的权限(被黑客或授权)。这里的安全漏洞并不是对SSI执行程序的支持(尽管它不应该是),而是允许用户首先访问机器的写权限。
如果不清楚,这与PHP无关。
这与PHP无关,它与SSI使用<!--#command-->作为其语法。
礼貌总是一件好事。 – 2009-11-30 04:39:09
他甚至说他从文章中得到它。他怎么能不读第一句话? – 2009-11-30 04:40:00
@大卫你对这个答案有什么不礼貌?它在保留作者尊严的同时回答了这个问题。 – 2009-11-30 05:24:51