@万一奥特曼打不赢小怪兽:

java大牛，想问一下这个Java代码远程动态调用jar包，用ognl表达式怎么写啊？

@浪子逐梦:

前辈，我用您的vulhub复现cve-2018-7600,docker环境(8080端口)成功复现，物理环境(80端口)我也搭了一个，但是不能执行，和docker环境版本相同都是drupal8.5.0，安装步骤也都是默认安装，不知前辈在物理环境复现时是否遇到过类似情况，还应该注意什么细节？

@路人甲:

想请教P神一个问题，我在审计TP框架的时候经常会遇到在执行数据库查询的时候自带的 单引号转义操作。看了下框架的相关操作，发现之后到数据库里面的的确是有转义处理。想请教下P神 这个是框架自带的吗？有没有什么特定条件下才会开始呀？因为我看其它文章，有些是没有进行转义的。谢谢！！

@master:

老师，我明明过滤了的呀，怎么还是能注入呢

@东东:

p牛，看了你的代码审计，其中有个变量覆盖漏洞，我感觉这个是递归的问题，如果$svar = array{'a'=>1,'b'=>array{'a'=>2}}，最后$svar['a']的值就是2了，是这样吗？

@路人甲:

p师傅，mysql盲注除了sleep和BENCHMARK()函数，还有其他的函数吗？

@路人甲:

p师傅，有没有代码审计新手入门的资源？

@Lion💬💬💬:

阿里云搭建vulhub代码能执行成功，无法web访问，请问p神为啥？vultr就可以

@路人甲:

p神好，想问个问题。在php配置中，关闭了display_errors和display_startup_errors之后，不会出现Notice，Warning这类的报错。但是使用mysql_error，mysqli_error这类函数依然会显示报错。是因为这两个选项无法对这些函数进行限制吗？我实验了几次，结果都是这样。网上查找也没有对应明确的说明，故此请教一番

@路人甲:

web安全的前途探讨:web安全除了研究员，一般也就是在甲方乙方服务了，工资地位肯定不如开发的，年纪大了该怎样转型，何去何从呢？