PHP正则表达式存在四大代码执行风险:一、旧版e修饰符;二、create_function动态构造函数;三、preg_replace_callback回调注入;四、PCRE回溯绕过配合eval/assert。
如果您在PHP中使用正则表达式处理用户输入时未加严格过滤,可能意外触发PHP代码执行,造成严重安全风险。以下是几种已知可导致PHP代码执行的正则表达式相关方法:
在旧版PHP中,preg_replace函数支持e修饰符,允许将匹配结果作为PHP代码执行。该行为已被废弃并移除,但在遗留系统中仍需警惕。
1、构造包含PHP代码的替换字符串,例如:"system('id')"。
2、调用preg_replace函数,并在模式末尾添加e修饰符,如:/pattern/e。
立即学习“PHP免费学习笔记(深入)”;
3、传入恶意字符串作为subject参数,使preg_replace解析并执行内嵌代码。
4、注意:PHP 5.5.0起完全移除e修饰符,使用此方法需目标环境为PHP ≤ 5.4.x。
create_function函数接受字符串形式的参数列表和函数体,并返回可调用的匿名函数。若正则匹配结果被拼接到其第二个参数中,即可执行任意PHP代码。
1、从preg_match或preg_replace获取用户可控的子串,例如捕获组内容。
2、将该子串拼接进create_function的function_body参数,如:"return " . $user_input . ";"。
3、调用返回的函数对象,触发代码执行。
4、注意:create_function在PHP 7.2.0中已弃用,PHP 8.0.0中彻底移除。
当preg_replace_callback的callback参数由用户输入直接控制且未校验时,攻击者可指定内置函数(如assert、system)或动态函数名(如"assert")执行代码。
1、识别代码中callback参数是否来自未经验证的$_GET、$_POST等变量。
2、构造请求,使callback值为"assert"或"system"等危险函数名。
3、确保正则匹配成功,使preg_replace_callback调用该函数并传入匹配结果作为参数。
4、注意:此方法不依赖正则引擎本身执行代码,而是利用回调机制绕过过滤。
在极少数与eval、assert等配合使用的场景中,超长恶意正则表达式可能触发PCRE栈溢出或异常终止,结合错误处理逻辑导致代码流改变。该路径非标准利用方式,依赖具体上下文。
1、向存在eval或assert调用的代码段传入含复杂嵌套量词的正则模式,如("a*"{1000})。
2、触发pcre_exec内部回溯失败,产生警告或错误。
3、若错误处理逻辑包含可被操控的分支(如try/catch中调用用户可控函数),可能间接执行代码。
4、注意:此方法成功率低、环境依赖强,不属于典型正则触发路径。
以上就是正则表达式如何触发php代码执行_正则表达式触发php代码执行方法【教程】的详细内容,更多请关注php中文网其它相关文章!
PHP怎么学习?PHP怎么入门?PHP在哪学?PHP怎么学才快?不用担心,这里为大家提供了PHP速学教程(入门到精通),有需要的小伙伴保存下载就能学习啦!
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
494
收藏
