书写错误，导致恶意用户构造语句可以写入webshell，进而控制整个服务器。   前几个晚上，把前台文件，只要是数据库调用中的变量都看了一遍。看看是不是有过滤不严的地方，看完后觉得，过滤不严的地方的确不少，但是都已经被单引号保护起来了。在php中，如果magic_qoute_gpc=on（默认的）编译器会自动把单引号等特殊字符转义，而这个时候我们想改变程序的执行流程是非常困难的。这样大大的增加了入侵的难度，在某种程度上，也的确保证了其安全。这也是为什么朋友提出一定要在magic_qoute_gpc为on的时候依然可以利用的要求。如果需要单引号介入才能利用的漏洞，在...