PHPOK结合CSRF(GET型) - GETSHELL

简要描述： PHPOK 输入过滤做的还是不错的，输入参数都做了 addslashes 转义； addslashes 在某些场景起不到安全防护作用，这里借PHPOK举个栗子。 详细说明： getshell利用的是include方法过滤不严的缺陷，代码如下： 文件 framework/www/paymentcontrol.php ：submit方法 function submitf $rs = $this-authcheck; ... $payment = $this-get'payment','int'; ... // 取数据库表 qingganpayment 的数据 $paymentrs...