2
比方說,我有一個PHP文件,test.php有兩個函數:test1()和test2()。有人可以在我的庫中執行php函數,但是在查看的頁面上沒有調用嗎?
如果我有一個外部php文件,index.php,其include(test.php)代碼。如果在index.php文件中引用了test1()而不是test2(),有沒有什麼辦法可以讓某人在使用index.php文件時做一些惡意的事情來執行test2()?
A
回答
3
他們可以執行任意代碼的唯一方法是通過code injection漏洞。
下面是一個過於簡單的例子:
<?php
$runthis = $_GET["runthis"];
$runthis();
那麼攻擊者就可以調用你的腳本http://example.com/index.php?runthis=test2,然後它會運行test2()功能。
在上面鏈接的維基百科文章或OWASP網站上閱讀有關代碼注入的更多信息。
1
當你說「使用」,你的意思是像他們的瀏覽器中的最終用戶?不,他們不能運行任意代碼。
相關問題
- 1. 函數可以在沒有類的情況下調用嗎? php
- 2. 我們可以在C中有沒有名字的函數嗎?
- 3. 有人可以向我解釋PHP中的pack()函數嗎?
- 4. PHP - 使用include,我可以在頁面的不同div上執行嗎?
- 5. 我沒有正確執行我的push/pop方法,有人可以幫我嗎?
- 6. 可以在沒有上下文的函數中使用getPackageManager嗎?
- 7. 有人可以查看我的網站在ASP.Net中看到代碼隱藏嗎?
- 8. 我的電腦上沒有出現在IE8中的Flash動畫。有人可以看看嗎?
- 9. 有人可以解釋我的回調函數嗎?
- 10. 已將圖像上載到mysql數據庫,但是我可以檢索它以查看編輯頁面嗎?
- 11. 我可以在Corona sdk中調用Objective C的庫函數嗎?
- 12. 我可以在Java中創建沒有函數的線程嗎?
- 13. 我可以在php的switch語句中調用函數嗎?
- 14. 我可以在Firebug中使用console.log()來查看回調函數的結果嗎?
- 15. 我可以獲取我沒有在Twitter上關注的人的數據嗎?
- 16. 我可以在Windows Azure上從PHP調用.NET函數嗎?
- 17. 我的數據庫(.MDF)似乎沒有附加到我的。\ SQLExpress,但我可以在VS 2010中查看它?
- 18. 設置在rails應用程序上限,以便只有一個人可以查看我們的頁面
- 19. 你可以在存在但在Rails中沒有模式的表上執行查詢嗎?
- 20. 我們可以在Java中的函數中調用函數嗎?
- 21. 有人可以檢查看看我的表情有什麼問題嗎?
- 22. 我可以在wxpython中使用沒有框架的面板嗎?
- 23. 我的代碼在這裏有問題,有人可以看看嗎?
- 24. 我可以跟蹤在python腳本中執行的所有函數/方法嗎?
- 25. 有人可以看看我的rakefile的語法嗎?
- 26. 頁面如果有參數但沒有明確的頁面php
- 27. 我可以在PHP中自動加載沒有類的函數文件嗎?
- 28. PHP腳本沒有在某些頁面上執行
- 29. 你可以在網站上嵌入VLC,以便沒有安裝VLC的人可以查看它嗎?
- 30. 有人可以幫我做分頁嗎?
沒有(名譽是不應該這樣一個簡短的答案,所以我評論,而不是回答。) – 2010-05-24 23:09:42