假设我有一个 php 文件 test.php,有 2 个函数:test1() 和 test2()。
如果我有一个外部 php 文件,index.php,其代码中包含 include(test.php) 。如果在index.php文件中有对test1()的引用,但没有对test2()的引用,是否有人可以通过在使用index.php文件时执行恶意操作来执行test2()?
最佳答案
他们执行任意代码的唯一方法是通过 code injection漏洞。
这是一个过于简单的示例:
<?php
$runthis = $_GET["runthis"];
$runthis();
因此,攻击者可以通过 http://example.com/index.php?runthis=test2
调用您的脚本,然后运行您的 test2()
函数.
在我上面链接的维基百科文章或 OWASP 中了解有关代码注入(inject)的更多信息。网站。
关于php - 有人可以在我的库中执行 php 函数但未在查看的页面上调用吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2900941/