Question

GPC 会自动把我们提交上去的单引号等敏感字符给转义掉，这样我们的攻击代码就没法执行了，GPC 是 PHP 天生自带的功能，所以是我们最大的天敌。不过不要担心，GPC 并不是把所有变量都进行了过滤，反而人们容易忽视而又用得多的$_SERVER 变量没有被 GPC 过滤，包括编码转换的过程中，部分情况下我们也是可以干掉 GPC 的转义符号，是不是有点小激动？下面我们来仔细了解下。