除了eval语言结构之外，还有一个允许任意代码执行的函数:assert

assert('ex' . 'ec("kill --bill")');

危险的语法元素怎么办?

“变量变量”($$var)将在当前作用域中找到一个名为$var的变量。如果使用错误，远程用户可以修改或读取当前作用域中的任何变量。基本上是一个较弱的eval。

例如:你写一些代码$$uservar = 1;，然后远程用户将$uservar设置为“admin”，导致$admin在当前范围内被设置为1。

我很惊讶没有人提到echo和print作为安全利用点。

跨站脚本(XSS)是一种严重的安全漏洞，因为它比服务器端代码执行漏洞更常见。

使用4bit发现了几个缓冲区溢出 字符解释文本的函数。 htmlentities () htmlspecialchars函数()

人在巅峰时，好的防御是用什么方法 Mb_convert_encoding()转换为单个 先编码再解释。

平台特定的，但也是理论的执行向量:

dotnet_load () 新的COM(“WScript.Shell”) 新的Java(“java.lang.Runtime”) Event_new()—非常最终

而且还有更多的伪装方法:

Proc_open是popen的别名 中的call_user_func_array (exE .chr(99),数组(“/ usr / bin /损害”,“——”)); File_put_contents ("/cgi-bin/ nextinvoke .cgi") && chmod(…) setDefaultStub -检查.phar文件中的代码 runkit_function_rename("exec"， "innocent_name")或APD rename_function

让我们将pcntl_signal和pcntl_alarm添加到列表中。

在这些函数的帮助下，您可以绕过php.ini或脚本中创建的任何set_time_limit限制。

例如，该脚本将运行10秒，尽管set_time_limit(1);

(感谢塞巴斯蒂安·伯格曼的推文和要点:

<?php
declare(ticks = 1);

set_time_limit(1);

function foo() {
    for (;;) {}
}

class Invoker_TimeoutException extends RuntimeException {}

class Invoker
{
    public function invoke($callable, $timeout)
    {
        pcntl_signal(SIGALRM, function() { throw new Invoker_TimeoutException; }, TRUE);
        pcntl_alarm($timeout);
        call_user_func($callable);
    }
}

try {
    $invoker = new Invoker;
    $invoker->invoke('foo', 1);
} catch (Exception $e) {
    sleep(10);
    echo "Still running despite of the timelimit";
}