引言 今日在练习ctf基础题的时候，意外发现如下情况，代码如下： $v0=is_numeric($v1) and is_numeric($v2) and is_numeric($v3); if($v0){ if(!preg_match("/\;/", $v2)){ if(preg_match("/\;/", $v3)){ eval("$v2('ctfshow')$v3"); } } } 显然，v0要做到v1 v2 v3都为数字。结果查看wp的时候发现，只要v1是数字就行了，后面两个完全不用在意。这就引起我的思考：由…