short_open_tag对安全的影响

今天网上一个朋友问我了一个问题

于是想到了一个著名的某shop漏洞,将一句话木马写入系统错误日志里,然后系统错误日志就成一句话木马了

不过这个错误日志的最顶端加了

<?exit();?>  在一些环境下,仍然可以写入木马,这是为什么呢。

就是php短标签的问题,php短标签

我们来进行一下测试:

首先,关闭php短标签的支持,之后使用代码

<?exit(“Forbidden”);?>
<?php echo ‘successful’; ?>

看返回的结果

是successful,这就证明了我们之前加的<?exit();?>是无效的,因为这不被系统识别

我们在来开启short_open_tag的支持

这次返回的结果是Forbidden

这就说明关闭short_open_tag是有安全隐患的。

建议开启short_open_tag的支持,以及程序猿们写代码的时候不要吝啬了

link:http://www.safe121.com/post-725.html
网络安全攻防研究室(www.91ri.org) 信息安全小组收集整理.转载本文请著名原文地址及原作者版权信息。