• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Уязвимость Preg_replace

  • Автор темы slavon-x86
  • Дата начала
S

slavon-x86

Мне сказали что в этом коде уязвимость, но я непонимаю где !? Помогите понять.

Код:
// Удаление неизвестных символов: целое число
function pr_a ($ee) { return preg_replace("/[^0-9]/", '', $ee); };

Вот что мне написали.
Если не хватает знаний чтобы понять почему я показал именно эту строку в качестве примера - Великий Гугл тебе поможет.
Скорми ему следующую волшебную фразу: "уязвимость preg_replace".
 
S

sn@ke

Тут нету уязвимости, она была бы при таком коде
PHP:
// Удаление неизвестных символов: целое число
function pr_a ($ee) { return preg_replace("/[^0-9]/e", '', $ee); };
Модификатор e.
 
A

alexdrob


PHP:
mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit ] )
Модификатор /e меняет поведение функции preg_replace() таким образом, что параметр replacement после выполнения необходимых подстановок интерпретируется как PHP-код

мне кажется не было бы тут уязвимости :)
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!