1、字符串与数字之间的转换
2、intval() 可控字符
3、parse_str() 变量覆盖
4、eval() 任意PHP代码执行
1、网页源代码
2、手动利用GET和POSt方法提交数据
3、robots.txt
4、备份文件漏洞(Backup-File Artifacts)
5、cookie
6、理解、修改javascript脚本
7、http头,比如 X-Forwarded-For、referer
8、简单的爆破
9、会用webshell
10、提供系统级命令执行功能时对用户输入过滤不当导致恶意命令执行
11、网页注释导致信息泄露
12、SQL注入
13、git泄露
14、十六进制文件读取