命令注入（Command Injection）是指Web应用在调用系统命令时，允许用户控制命令参数或命令本身，且未对用户输入进行充分过滤，导致攻击者可以在服务器上执行任意系统命令。一句话原理：用户输入被拼接到系统命令中，且未经过滤，导致“数据”被当作“命令”执行。命令注入 = 用户输入拼接到系统命令 + 未过滤核心危害：执行任意系统命令，可反弹Shell、提权、写马主要绕过：连接符;$()、反引号