先看sprintf用法：

定义和用法

sprintf() 函数把格式化的字符串写入变量中。

arg1、arg2、++ 参数将被插入到主字符串中的百分号（%）符号处。该函数是逐步执行的。在第一个 % 符号处，插入 arg1，在第二个 % 符号处，插入 arg2，依此类推。

注释：如果 % 符号多于 arg 参数，则您必须使用占位符。占位符位于 % 符号之后，由数字和 "\$" 组成。

例子1（当占位符使用）：

例子2（%2表示占位符，$s表示格式化类型）：

在php格式化字符串中，%后的一个字符（除了%）会被当做字符类型，被吃掉，包括'\  所以造成了单引号逃逸。

%没有被吃掉

这样可能遇到php 警告，可以提交%1$吃掉后面的斜杠。

总结利用条件：

1、执行语句使用sprintf或者vsprintf拼接

2、执行语句进行了俩次拼接，第一次拼接的参数内容可控

参考文章:https://paper.seebug.org/386/