Википедия
PHP-инъекция
PHP-инъекция — один из способов взлома веб-сайтов, работающих на PHP , заключающийся в выполнении постороннего кода на серверной стороне. Потенциально опасными функциями являются:
- eval,
- preg_replace (с модификатором «e»),
- require_once,
- include_once,
- include,
- require,
- create_function.
PHP-инъекция становится возможной, если входные параметры принимаются и используются без проверки.