白帽子手法，想要通過客戶端向后臺注入php函數并執行？

除非后臺不檢查你的請求數據，甭管什么，直接執行！那叫“國門大開”！

實際上，可能嗎？除了使用表單給后臺提供數據，想想，你向Linux系統寫入文件試試？什么用戶，哪個組，有無write權限？這些讀寫權限，您能過嗎？

題主說訪問后端PHP，那么有兩個方式，

1）借由web服務器訪問php-fpm解析php文件并執行。

2）PHP命令行開服務，指定端口對外開放。

也就是說，題主只能走HTTP,WS協議。【ssh,ftp等不知道html+js能不能發起，請大神補充。】這兩個協議對于linux系統的操作權限，已有限定，不可能讓你燒殺搶掠。

退一萬步講，題主就是想要js發送form表單，發一串'dropdatabasexxx'或'rm-Rf./*'或者':(){:|:&};:'類似這種東西。可不可以呢。可以啊，php接收之后，執行eval(),shell_exec(),proc_open()，那么多系統級的函數，盡管用就是。

說完了，我可以跑了嗎？