试验环境用户 - 网站（iis） - 安全狗 Zhu在10月底向谷歌安全团队陈述了这个缝隙，可是这个团队不认可她的缝隙陈述，回应说这个缝隙并不是安全问题。

$start = $_POST ['last']; //可控msf > nmap -P0 192.168.20.1-10输入要查询的域名，即可得知子域名接下来再剖析一下EscapeShellArg()函数，这个函数是专门用来处理指令的参数的，它在给定的字符串两头加上单引号，并把字符串中的单引号转义，这样这个字符串就能够安全地作为指令的参数。