-7

我正在寻找利用这个 preg_replace 调用:

$str = preg_replace($pattern, '__', $str);

我可以控制 $str 和 $pattern 变量,但我不确定这是否足以注入任意 PHP 代码。有什么想法?:)

4

1 回答 1

5

preg_replace仅在使用e修饰符时才可利用。这意味着$replacement字符串被评估为 PHP 代码。由于您无法让$replacement远程用户更改它,因此它不容易受到攻击。

于 2013-02-04T23:15:15.160 回答