f12看页面元素,发现提示,访问函数从这里开始运行,接收一个变量file,传递到checkFile这个函数里面
主要审计的代码就是这一块,全部返回true之后就可以执行上面的include语句,访问文件,我们看看每个if条件句
在class里面有4个if条件语句
第一个if语句判断变量$page是不是字符串,不是则返回false
第二个if语句判断变量$page是否是白名单数组中的字符串,是则返回true
然后将$page过滤,substr函数是将字符串分割,mb_strpos($page.’?’, ‘?’)先将page加上一个问号,然后计算问号前的字符串的数量,并返回这个数量的值
相关文章: