命令執(zhí)行的原理和測試方法

命令執(zhí)行原理

在各類編程語言中，為了方便程序處理，通常會存在各種執(zhí)行外部程序的函數(shù)，當(dāng)調(diào)用函數(shù)執(zhí)行命令且未對輸入做過濾時，通過注入惡意命令，會造成巨大的危害。
下面以PHP中的system()函數(shù)舉例：

<?php ? ? ? ?$dir= $_GET['d']; ? ? ? ?system("echo ".$dir);?>

在各類編程語言中，“&&”是and語法的表達(dá)，當(dāng)兩邊的表達(dá)式都為真時，才會返回真。類似的語法還有or，通常用“||”表示。

注意，它們存在惰性，在and語法中，若第一個表達(dá)式的結(jié)果為假，則第二個表達(dá)式不會執(zhí)行，因為它恒為假。與or語法類比，若第一個表達(dá)式為真，則第二個表達(dá)式也不會執(zhí)行，因為