php非法参数 - Hack_Tea

利用版本php版本小于8

<?php
  $c=$_GET['ab_c d.a'];
?>

当我们在url中传参/?ab_c d.a=1时，传入后php会将 . 和空格转换成 _，此时后端参数名将为ab_c_d_a，但当我们传入/?ab[c d.a=1时，此时将成功传入ab_c d.ac=1。此漏洞在phpb版本大于8以后修复，都会将[ . 空格转换成 _

posted on 2025-10-26 10:34 Hack_Tea 阅读(1) 评论(0) 收藏举报

刷新页面返回顶部