strstr和stristr都是匹配字符串用的,但是strstr是区分大小写的,stristr是不区分大小写的。
所以例如:
<?php show_source(__FILE__); echo $_GET['hello']; $page=$_GET['page']; while (strstr($page, "php://")) { $page=str_replace("php://", "", $page); } include($page); ?>这段php代码,当page参数中有php://字段的时候就会被替换成空,但是是用strstr匹配的,所以写PHP://input再post就不会被替换掉。