简介

定义

当应用在调用一些能将字符串转化成代码的函数时,未考虑用户是否能够控制此字符串,从而产生代码注入漏洞

原理

在通过PHP的相应函数(比如include())引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预料之外的文件,就可能导致以外的文件泄露甚至恶意代码注入

原理

文件上传漏洞是WEB安全中经常利用到的一种漏洞形式。这种类型的攻击从大的类型上来说是攻击“数据与代码分离原则”的一种攻击。
在文件上传功能处,若服务端脚本语言未对上传的文件进行严格验证和过滤,导致恶意用户上传恶意的脚本文件时就有