PHP中eval、assert、动态函数调用及preg_replace的/e修饰符均可因用户输入未过滤导致远程代码执行。

如果在PHP应用中对用户输入的字符串进行不当处理，可能导致恶意代码被解释执行。以下是几种常见的触发方式：

一、使用eval函数处理未过滤的字符串

eval函数会将传入的字符串作为PHP代码解析并执行。当用户可控的字符串未经校验直接送入eval时，即可触发任意代码执行。

1、获取用户提交的参数，例如通过$_GET['code']接收字符串内容。

2、将该参数直接拼接进eval语句，如：eval("echo " . $_GET['code'] . ";");。

3、构造payload，例如提交code=phpinfo()，使服务器执行phpinfo()函数。

4、确认执行结果是否在响应中返回phpinfo()输出内容。

二、利用assert函数执行字符串代码

assert在PHP 7以下版本中可接受字符串参数并将其作为PHP代码执行，与eval行为类似，常被忽略其危险性。

1、检查代码中是否存在assert($_GET['x'])这类调用。

2、确认PHP版本是否低于7.0（如5.6或5.4）。

3、发送请求，例如?x=system('ls')，观察目录列表是否出现在响应中。

4、若页面回显当前目录下的文件名列表，说明assert已成功执行系统命令。

三、动态函数调用配合用户输入

当函数名由用户控制且未加白名单限制时，可通过字符串拼接实现函数调用，进而执行危险操作。

1、定位类似${$_GET['func']}()或$func = $_GET['func']; $func();的代码结构。

2、确认目标函数是否存在于当前环境中，例如shell_exec、passthru、system等。

3、构造请求，例如?func=system&cmd=id，使system函数被执行。

4、响应中若包含uid=0(root) gid=0(root)等信息，则表明命令执行成功。

四、preg_replace的/e修饰符注入（PHP 5.4及更早）

在旧版PHP中，preg_replace使用/e修饰符时会将替换字符串作为PHP代码执行，极易导致远程代码执行。

1、查找形如preg_replace("/.*/e", $_GET['p'], "test")的代码段。

2、确认PHP版本是否启用/e修饰符支持（PHP

3、提交payload，例如p=phpinfo()，使正则替换触发代码执行。

4、响应中若出现PHP版本、扩展、配置等详细信息，即表示漏洞已被触发。

五、反序列化过程中字符串参与动态调用

当反序列化对象的魔术方法（如__wakeup、__destruct）中存在基于字符串拼接的函数调用或变量调用时，可能触发代码执行。

1、识别类中是否存在类似call_user_func($_SERVER['HTTP_X_FUNC'])的调用逻辑。

2、构造恶意序列化字符串，使反序列化后$_SERVER['HTTP_X_FUNC']被设为system。

3、在HTTP请求头中添加X-Func: system，并携带序列化数据到接收点。

4、若响应中返回命令执行结果（如whoami输出），说明反序列化链已成功利用。