问服务器日志- Apache服务器

EN

转义是以CRLF (windows样式行提要)为例，并将其转换为\r\n，这是您需要执行的2个“转义”字符，\t是制表符等。它将它们呈现为它们没有“完成”的表单，但您知道它们在哪里，并且可以被转换回原来的形式。

读：http://en.wikipedia.org/wiki/Code_injection#Shell_injection

如果我要转义html，<a>将被转义到<a>。

这样，代码就不会呈现，也不会执行(因此被认为是安全的)。

如果我接受用户输入，并将他们的输入直接返回给其他用户，那么可能有人会将恶意代码放入其中。例：http://myunsafesite.com?comment=<script>alert('i steal cookies')</script>

虽然上面的示例不适用于日志文件，但它在文件系统上是相同的原则。成功利用漏洞可以让攻击者在web服务器上创建新文件并执行代码。