preg_match和preg_match_all对于PCRE回溯次数限制

 

 

 

 两种方式调用,通过以下方式调用,结果一致。

 

当次数超过10w次后,都是return false。可利用pcre绕过很多,白盒审计时需注意preg_match和preg_match_all这一点。

使用时注意使用===进行类型比较。

 

参考:https://www.leavesongs.com/PENETRATION/use-pcre-backtrack-limit-to-bypass-restrict.html?page=2#reply-list

 

posted @ 2021-01-08 14:59  lcamry  阅读(369)  评论(0编辑  收藏  举报