危险的语法元素怎么办?

“变量变量”($$var)将在当前作用域中找到一个名为$var的变量。如果使用错误，远程用户可以修改或读取当前作用域中的任何变量。基本上是一个较弱的eval。

例如:你写一些代码$$uservar = 1;，然后远程用户将$uservar设置为“admin”，导致$admin在当前范围内被设置为1。

我猜，通过解析源文件，您无法真正找到所有可能的漏洞。

此外，如果这里提供了非常好的列表，你可能会错过一个可以利用的函数 仍然有可能存在像这样“隐藏”的邪恶代码

$myEvilRegex = base64_decode('Ly4qL2U='); preg_replace (myEvilRegex美元$ _POST['代码']);

您现在可以说，我只是扩展我的脚本来匹配它 但随后你可能会有“可能是邪恶的代码”，这也脱离了它的上下文 因此，为了(伪)安全，您应该真正编写好代码并自己阅读所有现有代码

php手册上的倒勾操作符

你必须扫描include($tmp)和require(HTTP_REFERER)以及*_once。如果一个利用脚本可以写入一个临时文件，它可以在以后包含它。基本上是两步计算。

甚至可以隐藏远程代码，比如:

 include("data:text/plain;base64,$_GET[code]");

此外，如果你的网络服务器已经被入侵，你不会总是看到未编码的邪恶。利用shell通常是gzip编码的。考虑include("zlib:script2.png.gz");这里没有eval，还是一样的效果。

有很多PHP漏洞可以通过PHP.ini文件中的设置来禁用。最明显的例子是register_globals，但是根据设置，也可以通过HTTP从远程机器包含或打开文件，如果程序对其include()或文件处理函数使用变量文件名，则可以利用这一点。

PHP还允许通过在变量名后面添加()来调用变量函数——例如$myvariable();将调用变量指定的函数名。这是可利用的;例如，如果攻击者可以让变量包含“eval”这个词，并且可以控制参数，那么他可以做任何他想做的事情，即使程序实际上不包含eval()函数。

这里没有提到一个有趣的漏洞来源。PHP允许字符串中包含0x00字节。底层(libc)函数将此作为字符串的结束。

这允许在某些情况下(糟糕的实现)在PHP中的健康检查可以被愚弄，例如在如下情况下:

/// note: proof of principle code, don't use
$include = $_GET['file'];
if ( preg_match("/\\.php$/",$include) ) include($include);

通过调用script.php?file=somefile%00.php，这可能包括任何文件——不仅仅是以.php结尾的文件

因此，任何不遵守PHP字符串长度的函数都可能导致一些漏洞。