Posted on 2007-07-27 23:37
花之剑 阅读(476)
评论(0) 编辑 收藏 所属分类:
php技术
exec("/usr/bin/cal {$GET['userString']}",$result);
foreach($result as $val)
print $val,"\n";
这个函数是输出参数传过来的月份的日历
假如我们在url中输入?2+2007;cat+/etc/passwd
这将完全看到passwd文件。对系统有很大的威胁
因此
我们需要对参数进行过滤。