weixin_44255856的博客

变量序列化: 1）序列化是将变量转换为可保存或传输的字符串的过程； 2）反序列化就是在适当的时候把这个字符串再转化成原来的变量使用； 3）这两个过程结合起来，可以轻松地存储和传输数据，使程序更具维护性； 4）序列化有利于存储或传递 PHP 的值，同时不丢失其类型和结构。 序列化函数serialize() serialize–产生一个可存储的值的表示 serialize( mixed $value...

说明：最近打算入手cms，所以找了一个简单的bluecms先练练手，先立个flag至少一周一个cms. 首先使用seay源码审计工具审计全部的源码 1，发现/uploads/ad_js.php下可能存在sql注入漏洞 打开ad_js.php文件 首先判断是否存在ad_id变量如果存在就执行下面的操作 跟踪getone函数，在mysql.class.php文件中，用于封装为sql语句。 后跟...

一 代码执行函数 PHP中可以执行代码的函数。如eval()、assert()、``、system()、exec()、shell_exec()、passthru()、 escapeshellcmd()、pcntl_exec() 等 <?php echo `dir`; ?> 二 文件包含代码注射 文件包含函数在特定条件下的代码注射，如include()、include_once()、 ...