除了eval语言结构之外，还有一个允许任意代码执行的函数:assert

assert('ex' . 'ec("kill --bill")');

php手册上的倒勾操作符

让我们将pcntl_signal和pcntl_alarm添加到列表中。

在这些函数的帮助下，您可以绕过php.ini或脚本中创建的任何set_time_limit限制。

例如，该脚本将运行10秒，尽管set_time_limit(1);

(感谢塞巴斯蒂安·伯格曼的推文和要点:

<?php
declare(ticks = 1);

set_time_limit(1);

function foo() {
    for (;;) {}
}

class Invoker_TimeoutException extends RuntimeException {}

class Invoker
{
    public function invoke($callable, $timeout)
    {
        pcntl_signal(SIGALRM, function() { throw new Invoker_TimeoutException; }, TRUE);
        pcntl_alarm($timeout);
        call_user_func($callable);
    }
}

try {
    $invoker = new Invoker;
    $invoker->invoke('foo', 1);
} catch (Exception $e) {
    sleep(10);
    echo "Still running despite of the timelimit";
}

有很多PHP漏洞可以通过PHP.ini文件中的设置来禁用。最明显的例子是register_globals，但是根据设置，也可以通过HTTP从远程机器包含或打开文件，如果程序对其include()或文件处理函数使用变量文件名，则可以利用这一点。

PHP还允许通过在变量名后面添加()来调用变量函数——例如$myvariable();将调用变量指定的函数名。这是可利用的;例如，如果攻击者可以让变量包含“eval”这个词，并且可以控制参数，那么他可以做任何他想做的事情，即使程序实际上不包含eval()函数。

我猜，通过解析源文件，您无法真正找到所有可能的漏洞。

此外，如果这里提供了非常好的列表，你可能会错过一个可以利用的函数 仍然有可能存在像这样“隐藏”的邪恶代码

$myEvilRegex = base64_decode('Ly4qL2U='); preg_replace (myEvilRegex美元$ _POST['代码']);

您现在可以说，我只是扩展我的脚本来匹配它 但随后你可能会有“可能是邪恶的代码”，这也脱离了它的上下文 因此，为了(伪)安全，您应该真正编写好代码并自己阅读所有现有代码

平台特定的，但也是理论的执行向量:

dotnet_load () 新的COM(“WScript.Shell”) 新的Java(“java.lang.Runtime”) Event_new()—非常最终

而且还有更多的伪装方法:

Proc_open是popen的别名 中的call_user_func_array (exE .chr(99),数组(“/ usr / bin /损害”,“——”)); File_put_contents ("/cgi-bin/ nextinvoke .cgi") && chmod(…) setDefaultStub -检查.phar文件中的代码 runkit_function_rename("exec"， "innocent_name")或APD rename_function