我们有一个简单的PHP文件,可以捕获电子邮件.它将这些电子邮件丢弃到csv文件中(不能由PHP执行).我们最近有人设法破解我们的网站,这似乎是一个切入点,但我不知道它是如何可能的.这是脚本:
$fh = fopen('cap.csv', 'a+');
fwrite($fh, "\r".$_GET['email']);
fclose($fh);
非常基本对吗?无论如何你可以想到利用这个吗?
解决方法:
是的,但可能不是你想要的.
我唯一能做的就是:
>在文件中添加任何内容,仅附加.
>(可选/奖金)如果您没有保护文件并直接窃取所有电子邮件地址,请直接打开文件.
它不允许我执行任何操作,也不允许我访问任何内容. (除非你处理它并导致其他地方泄漏).但仍然 – 让这个安全!