转载自:http://hi.baidu.com/micropoor
|
//2011-11-16 星期三
// 程序员的思维:
// Micropoor.php ---代码片段
$Micropoor=$_GET[Micropoor];
include($Micropoor.'php');
?>
//我们的思维:
http://www.127.0.0.1/Micropoor.php?Micropoor=/../../../../../etc/passwd%00
// 程序员的思维:
// Micropoor.php ---代码片段
//略
$fp = fopen($cacheFile, 'w');
fwrite($fp, $myvalues);
fclose($fp);
//略
?>
//login.php ---代码片段
$username=$_POST[‘username’];
$password=$_POST[‘password’];
$centent=time().”用户名$username登录错误,登录密码为:$password”;
$sql={sql}….
If(!={sql}){
$fp = fopen(error.php, 'w');
fwrite($fp, $centent);
fclose($fp);
echo “用户名或者密码错误!”
}
?>
//我们的思维:
*POST: username or password inject ->
|
结论:一不留神便全军覆没
文章来源于lcx.cc:Php安全新闻早8点(2011-11-16 星期三) - 技术文章
相关推荐: 中国黑客谱系
导读--17岁的莱安诺·拉斯特凭想象写出《骇客帝国》,hacker传入中国,被译为黑客。 一个时代的终结终需要一个符号。2004年最后一天,中国红客联盟(HUC)发起人lion关闭了这个曾经聚集了国内最多黑客爱好者的网站。这在网上激起了一波怀旧潮,一篇…
评论