原理

代码执行漏洞(跟目标编程语言有关):
利用的是诸如eval()此类函数,将用户输入数据当作当前网站的脚本语言代码去执行,例如:eval()函数可将字符串当作php代码执行,因此如果存在参数phpinfo();作为输入传给eval()函数,那么网页中就将展示作为php代码的phpinfo();的执行结果。
命令执行漏洞(跟目标操作系统有关):
利用的是诸如system()此类函数,这时如果函数参数是用户输入为ipconfig等系统命令,那么就将会执行系统命令触发漏洞造成危害。