Un sitio web acepta entradas de formulario y las envía a la pantalla, pero reemplaza cada <? a <--? convirtiéndolos en comentarios.
Digamos que POSTE lo siguiente:
<?php echo "xy"; /* arbitrary php code */
y quiero que se ejecute. ¿Hay alguna forma de inyectar algo entre los caracteres < y ? que se omiten durante el análisis de php?
No. PHP analizará el archivo php buscando <?php , <? o <?= (dependiendo del valor de short_tags )
Sin embargo, la salida de <?php a la pantalla no ejecutará el código. Debería haber sido evaluado (por ejemplo, guardado en un archivo .php en el servidor que luego ejecuta). Sin embargo, esta forma es probablemente vulnerable a XSS.
Lea otras preguntas en las etiquetas xss php null-byte-injection