1. RCE漏洞

1.1. 漏洞原理

RCE漏洞，可以让攻击者直接向后台服务器远程注入操作系统命令或者代码，从而控制后台系统。

七年以来，PHP一直是第四大最流行的编程语言，驱动全球超过2亿多个网站，全球超过81.7%的公共网站在服务器端采用PHP。PHP在这个星期有了自2004年以来最大的飞跃，因为PHP 7已经发布。PHP 7最大特色是极大地改进了性能，在一些WordPress基准测试当中，性能可以达到PHP 5.6的3倍。

PHP 7还有其他一些比较小的改进，比如显著减少内存使用，添加返回类型声明等等功能。PHP 7包含了一些重大安全改进，如除去PHP安全模式，添加魔术引号，有一些新的保留关键字等等。这意味着像WordPress等Web应用程序需要局部重新设计，以便为PHP 7发布做好准备，现在WordPress看起来已经完全兼容PHP 7。

0x01 漏洞概述

序列化：

提到PHP，肯定会有人说这是世界上最好的编程语言。单说流行程度，目前全球超过81.7%的服务器后端都采用了PHP语言，它驱动着全球超过2亿多个网站。上月初PHP7正式版发布，迎来自2004年以来最大的版本更新。现在，PHP 7.0.2又正式发布。

PHP7最显著的变化就是性能的极大提升，已接近Facebook开发的PHP执行引擎HHVM。在WordPress基准性能测试中，速度比5.6版本要快2~3倍，大大减少了内存占用。PHP7在语言上也有一些变化，比如添加返回类型声明、增加了一些新的保留关键字等。在安全方面，去除了PHP安全模式，添加魔术引号等。不仅如此，新版还支持64位，而且包含最新版Zend引擎。

简介

PHP 8 引入 命名参数（

PHP8 安全注意事项全解：开发者必须关注的关键点

随着 PHP8 的发布，性能和语法特性得到了极大提升，比如 JIT 引擎、联合类型、Match 表达式等功能。然而，安全问题依然是开发中不可忽视的重点。本文将从实际开发角度出发，带你了解在 PHP8 中需要特别注意的几个安全点。

一、代理服务器

1、什么是代理服务器

代理服务器，客户机在发送请求时，不会直接发送给目的主机，而是先发送给代理服务器，代理服务接受客户机请求之后，再向主机发出，并接收目的主机返回的数据，存放在代理服务器的硬盘中，再发送给客户机。

要说 PDO 中最强大的功能，除了为不同的数据库提供了统一的接口之外，更重要的就是它的预处理能力，也就是 PDOStatement 所提供的功能。因为它的存在，才让我们可以安心地去使用而不用操心 SQL 语句的拼接不好所带来的安全风险问题。当然，预处理也为我们提升了语句的执行效率，可以说是 PDO 的另一大杀器。

PDOStatement 类

我们在做生成分享图，生成验证码时，避免不了要使用此函数，此函数的作用是在图片上生成对应的字体。

函数的使用