二维码触发PHP代码执行漏洞分析

你在学习文章相关的知识吗？本文《二维码触发PHP代码执行方法详解》，主要介绍的内容就涉及到，如果你想提升自己的开发能力，就不要错过这篇文章，大家要知道编程理论基础和实战操作都是不可或缺的哦！

二维码本身不执行PHP代码，而是通过指向PHP脚本URL触发服务器端执行，方法包括：一、直接编码PHP URL并校验token；二、用短链接PHP页中转并记录扫描；三、微信内H5页面调用AJAX；四、专用设备上传data URL至webhook；五、HTML自动提交表单。

如果您在生成二维码时希望其扫描后能触发 PHP 代码执行，实际并非二维码本身执行代码，而是二维码内容指向一个 PHP 脚本 URL，用户扫描后由浏览器或扫码工具发起 HTTP 请求，从而间接触发服务器端 PHP 执行。以下是实现该目标的多种方法：

一、通过二维码编码 PHP 脚本 URL 触发 GET 请求

该方法利用二维码承载标准 HTTP 链接，当用户扫描时，设备默认使用浏览器打开该地址，服务器接收到请求后运行对应 PHP 文件。需确保目标 PHP 脚本可被公开访问且无权限拦截。

1、编写一个可执行的 PHP 脚本，例如 trigger.php，放置于 Web 根目录下，内容为需要触发的逻辑（如写日志、更新数据库等）。

2、使用在线二维码生成器或 PHP 库（如 Endroid/QR-Code）将完整 URL 编码为二维码，URL 格式为 https://yourdomain.com/trigger.php?token=abc123。

3、在 trigger.php 开头添加简单校验，例如检查 $_GET['token'] === 'abc123'，防止未授权调用。

二、利用短链接服务中转并嵌入 PHP 执行逻辑

该方法通过短链接跳转过程中的中间页执行 PHP 代码，避免直接暴露真实脚本路径，同时支持记录扫描行为。短链接解析页本身即为 PHP 文件，扫码即触发其执行。

1、创建 short.php，接收 path 参数（如 /a1b2），查询数据库匹配原始目标 URL 并记录访问时间、IP、User-Agent。

2、生成二维码内容为 https://yourdomain.com/short.php?code=a1b2。

3、在 short.php 中完成业务逻辑后，使用 header('Location: ' . $target_url) 进行 302 跳转，不中断执行流程。

三、结合微信 JS-SDK 在扫码页面内执行 AJAX 调用

该方法适用于微信内扫码场景，二维码指向一个 H5 页面，页面加载后自动向同域 PHP 接口发起异步请求，实现“静默触发”，无需跳转或用户交互。

1、二维码内容为 https://yourdomain.com/scan_callback.html?scene=order_789。

2、scan_callback.html 页面引入微信 JS-SDK，并在 wx.ready() 后立即发送 POST 请求至 /api/scan_log.php。

3、scan_log.php 接收 $_POST 数据，执行日志写入、状态更新等操作，并返回 JSON 响应供前端确认。

四、使用 QR 码内容为 data URL 并配合服务端 webhook 解析

该方法不依赖用户点击跳转，而是通过专用扫码设备或 App 将二维码内容上传至服务端接口，由服务端解析 data URL 并主动调用 PHP 处理逻辑，适合 IoT 或企业级扫码终端。

1、生成二维码内容为自定义协议格式，例如 customapp://action=notify&id=5566&ts=1712345678。

2、扫码设备捕获该字符串后，HTTP POST 至 https://yourdomain.com/webhook/qr_handler.php，附带原始字符串及设备标识。

3、qr_handler.php 解析 POST 中的 data 字段，校验时间戳与签名，再调用内部函数执行对应业务动作。

五、通过表单自动提交方式在隐藏页面中触发 PHP

该方法用于需要规避浏览器地址栏显示真实 PHP 路径的场景，二维码指向一个仅含自动提交表单的 HTML 页面，提交目标为 PHP 脚本，实现无感调用。

1、创建 auto_post.html，内含一个隐藏 form，method 为 POST，action 指向 /execute.php，并预设 hidden 输入字段传递参数。

2、二维码内容为该 HTML 页面的 URL：https://yourdomain.com/auto_post.html?task=send_email。

3、auto_post.html 页面加载后立即执行 document.forms[0].submit()，触发 PHP 脚本接收并处理数据。

今天关于《二维码触发PHP代码执行漏洞分析》的内容介绍就到此结束，如果有什么疑问或者建议，可以在golang学习网公众号下多多回复交流；文中若有不正之处，也希望回复留言以告知！