Polar 到底给不给flag呢

开局直接给了源码

$flag = 'flag{f73da0c8e7c774d488a6df0fec2890d9}';是假的

变量覆盖，没啥好说的。举两个例子吧。

<?php
$a = "hello";
echo "$a";              //输出hello
$$a="world";
echo "$a";              //输出hello
echo "$$a";            //输出world
echo "$a ${$a}";    //输出hello world
echo "$a $hello";  //输出hello world
?>

<?php
$ary=array('a','b','c','c','e');
foreach($ary as $key=>$value){     //$ary的键名赋给$key，键值赋给$value$$key=$value;    //把键值赋给$$key
}
print_r($key);      //输出4
print_r($value);    //输出e
print_r($$key);      //输出e
print_r($4);      //输出e
?>

payload：

GET：?aaa=flag&flag=aaa也可以GET：$flag=xxx
POST：_GET[flag]=flag

flag在网页源码里面。