' or '1'='1
是常見的攻擊字串,用於繞過驗證。使用 預處理陳述 是有效的防禦方式。(資料來源:110初級-技術概論 Q19, 109初級-技術概論 Q2, Q23, Q25, 109初級-技術概論(11月) Q19, Q20, Q23, Q27, 113初級-技術概論 Q4, Q5, Q19)
system()
:執行外部程式並顯示輸出。passthru()
:執行外部程式並將原始輸出直接傳遞給瀏覽器。shell_exec()
或反引號 ``:執行命令並返回完整輸出作為字串。exec()
:執行外部程式,不輸出結果,但可取得返回狀態。popen()
:打開一個指向進程的管道。eval()
函數用於執行 PHP 程式碼字串,而非作業系統命令,但若處理不當也可能導致程式碼注入風險。eval()
不是直接用來執行作業系統指令的。(資料來源:109初級-技術概論 Q20)
;
, |
, &
)來附加額外的惡意命令。