Un sito Web accetta il modulo di input e lo invia allo schermo, ma sostituisce ogni% da% di% a% di% di conversione in commenti.
Diciamo che POSSO quanto segue:
<?php echo "xy"; /* arbitrary php code */
e voglio farlo funzionare. C'è un modo per iniettare qualcosa tra i caratteri <? e <--? che vengono saltati durante l'analisi php?
No. PHP analizzerà il file php in cerca di <?php , <? o <?= (a seconda del valore di short_tags )
Tuttavia, facendo uscire <?php allo schermo, non eseguirà il codice. Dovrebbe essere stato valutato (ad esempio, salvato in un file .php nel server che verrà quindi eseguito). Questo modulo è probabilmente vulnerabile a XSS, però.
Leggi altre domande sui tag php xss null-byte-injection