heyingcheng的博客

1，eval()函数把字符串按照php代码来计算；2，该字符串必须是合法的php代码，且必须以分号结尾；php中的echo的功能是把参数直接输出到页面上：php?给参数caidao赋值，然后输出到页面上：给caidao的值111输出到页面是111eval函数把字符串按照php代码进行解析，并且该字符串必须是合法的php代码。eval函数前面加上@符号可以不显示报错。php?eval函数的作用也是解析参数，我们在firefox随意传递一个参数试试：可以看到没有加@时我们会看到报错信息。

爆破完成之后可以通过观察状态码（找不一样的，比如有些网站是302是指登录后会进行跳转）或者长度不一样的来找结果。另外，如果遇到混合加密的情况，比如银行会采用AES混合加密，这时可能会用到插件或者自己手写程序进行操作。在日常工作中，比如 sql注入，页面返回的信息太多不好定位，所以就可以用这个工具。在comparer中可以看到差别，但是在这里示范的时候没看到（失误？一个网站的登录成功或者失败返回的数据包是不一样的。比如，在实际的渗透过程中，有些单位的默认密码是。当抓包遇到一些密码被加密了，比如MD5加密。

POST请求 被抓包的文件 http协议是1.1。#user-agent是浏览器的标识。#POST数据的具体内容。