目录 1. 漏洞描述 Insufficient output sanitizing when generating configuration file phpMyAdmin是用PHP编写的工具，用于通过WEB管理MySQL phpMyAdmin的Setup脚本用于生成配置 ...

通过yum安装的php等其他各种软件，配置好后，html目录下面php可以解析，但是就是访问不到setup.php文件。后来各种查找，发现是setup解析错误。 通过rpm查找发现，php为5.3版本的，要5.4以上版本以上才可以，因为5.4加入了一些新的特性。所以安装了php5.6就可以 ...

PHP代码注入的原理和解析 PHP代码注入靠的是RCE，即远程代码执行。 指应用程序过滤不严，hacker可以将代码注入到服务器进行远程的执行。 危害和SSRF相似，通过这个漏洞可以操控服务器的动作。 最典型的就是一句话木马。 PHP代码漏洞注入的两个要素： 程序中含有可执行 ...

打开phpcustom 打开功能大全 使用代码漏洞检测工具 软件下载地址：http://www.phpcustom.com ...

前言 最近的日子简简单单 早上起来健身+散打来一套 看看电视剧学习学习吃吃饭一天就结束了emmmm太快了一天 所以要更加努力！更加勤奋！ PHP代码执行漏洞 有的应用程序中提供了一些可以将字符串作为代码执行的函数，例如PHP中的eval函数，可以将改函数的参数当做PHP代码来执行 ...

之in_array()函数缺陷 PHP代码审计02之filter_var()函数缺陷 漏洞分析 下面我们看第一 ...

　　首先介绍一下这个漏洞，其实是在apache调用php解释器解释.php文件时，会将url参数传我给php解释器，如果在url后加传命令行开关（例如-s、-d 、-c或 -dauto_prepend_file%3d/etc/passwd+-n）等参数时，会导致源代码泄露和任意代码 ...

在文件下载操作中，文件名及路径由客户端传入的参数控制，并且未进行有效的过滤，导致用户可恶意下载任意文件。 0x01 客户端下载 常见于系统中存在文件(附件/文档等资源)下载的地方。 漏洞示例代码： 文件名用户可控，导致存在任意文件下载漏洞，攻击者提交url ...