Итак, я занимался хакерской работой и заинтересовался xss
echo $_GET['cmd'];
Предположим, что приведенный выше код - страница моего уязвимого сайта. Однострочный код php
Я пыталсяpage?cmd=<script>alert('hi');</script>
, который выполнил диалог с предупреждением
Теперь мне нужно обработать php.Я знаю, что страница уже загружена, и даже если я передам функции php, она будет в исходном коде, но она не будет выполняться.Есть ли способ заставить его исполниться?
ОБНОВЛЕНИЕ:
http://localhost/evaltest.php?data=%3Cscript%3Ealert(%27Hit%27);document.write(%27%3C?php%20echo%20%22HI%22;?%3E%27);%3C/script%3E
Код, который я передаю,
<script>alert('Hit');document.write('<?php echo "HI"');</script>
И приходит предупреждение "Привет", и код php также пишется, но, как при открытии исходного кода
<html><head></head>
<body>
<script>
alert('Hit');
document.write('<?php echo "HI"');
</script>
<!--?php echo "HI"; ?-->
</body>
</html>