Взято тут. В основе лежит отображение как-есть не подходящих символов в качестве аргументов функции. За счет экранирования можно добиться вывода чего угодно. Пэйлоад: Code: <?php echo date('<\i\m\g \s\r\c\=\x \o\n\e\r\r\o\r=\a\l\e\r\t(\'\X\S\S\')\>'); ?> Цели: https://github.com/search?q=date%28%24_GET&type=Code&ref=searchresults У автора в блоге кавычки сломанные. Пример: На заметку, сюда относятся еще и gmdate, и strftime и прочие, которые ретурнят строку.
это не баг какой смысл делать так "date($_GET" при программировании? любые GET/POST запросы должны проходить фильтрацию
