文件上传
文件上传使用的自己写的代码(自己找漏洞修复)
还是已有框架引用(框架漏洞)
文件下载
直连下载 VS 传参下载
直连下载
传参下载
直连无隐患
传参可能获得网页源码
下载敏感文件
文件删除
unlink() 删除文件
rmdir() 删除文件夹
调用命令删除:system shell_exec exec等
文件读取
读取任意文件(数据库配置文件、操作系统关键文件)
文件写入
写入webshell(后门)
文件包含
include() 在错误发生后脚本继续执行
require() 在错误发生后脚本停止执行
include_once() 如果已经包含,则不再执行
require_once() 如果已经包含,则不再执行