3.php开发-个人博客项目&输入输出类&留言板&访问IP&UA头来源

已于 2024-01-21 14:31:53 修改
阅读量1k 收藏 23
点赞数 26
分类专栏: php开发基础 文章标签: php 开发语言 html5 前端 网络安全 web安全
于 2024-01-21 14:30:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2303_80857229/article/details/135729341
版权

目录

知识点 :

输入输出

配置环境时:

搜索框:

留言板:

留言板的显示(html):

php代码显示提交的留言:

写入数据库

对留言内容进行显示:

php全局变量-$_SERVER

检测来源

墨者-来源页 伪造

墨者-ip地址伪造

知识点 :

1、PHP-全局变量$_SERVER

2、MYSQL-插入语法INSERT

3、输入输出+xss&反射&存储

4、安全问题-xss跨站&CSRF等

输入输出

输入的东西能在网站上显示。

配置环境时:

数据库的文件要写对账号密码,指定一个库。(conn.php)

php代码输出的时候要指定sql语句,和表里的字段。

搜索框:

——搜索功能,

搜索框的编写,(表单)

<form id="form1" action="" method="post">
  <label for="search">内容搜索:</label>
  <input type="search" name="search" id="search">
  <input type="submit" name="submit" id="submit" value="提交">
</form>

php实现搜索数据的显示:

<?php
include('config/conn.php');
$s=$_POST['search'];
$sql="select * from staff where name like '%$s%'";
$result=mysql_query($sql,$conn);
echo '你搜索的'."'$s'".'结果如下:';
while($row=mysql_fetch_array($result)){
    echo '<br><br><hr>';
    echo $row['number'].'<br>';
    echo $row['name'].'<br>';
    echo $row['post'].'<br>';
}
?>

——输入输出的关键字,--->xss

留言板:

——留言内容在数据库里面
​
——加载前面的前面的内容
​
——可以提交留言
​
——提交留言之后会再加载
留言板的显示(html):
留言:

<form id="form1" name="form1" method="post">
  <p>
    <label for="textfield">ID:</label>
    <input type="text" name="id" id="textfield">//
  </p>
  <p>
    <label for="textfield2">昵称:</label>
    <input type="text" name="name" id="textfield2">
  </p>
  <p>
    <label for="textfield3">QQ:</label>
    <input type="text" name="qq" id="textfield3">
  </p>
  <p>
    <label for="textarea">内容:</label>
    <textarea name="content" id="content"></textarea>
  </p>
  <p>
    <input type="submit" name="submit" id="submit" value="提交">
  </p>
</form>
<p>
php代码显示提交的留言:

接受提交内容,并显示

<p>留言内容:</p>
<?php
header("Content-type: text/html; charset=utf-8");
include('config/conn.php');
​
$i=@$_POST['id'];
$n=@$_POST['name'];
$q=@$_POST['qq'];
$c=@$_POST['content'];
​
echo $i,$n,$q,$c.'<hr>';
写入数据库

——包含数据库文件(conn.php)

——插入数据

--根据导出的sql脚本文件---写sql语句

写入数据库:

if(!empty($i)){
    $sql="INSERT INTO `test001` VALUES ('$i', '$n', '$q', '$c');";
    mysql_query($sql,$conn);
}

对留言内容进行显示:

$sql1='select * from test001';
$result=mysql_query($sql1,$conn);
while($row=mysql_fetch_array($result)){
    echo '<br>';
    echo 'ID:'.$row['id'].'<br>';
    echo '昵称:'.$row['name'].'<br>';
    echo 'QQ:'.$row['qq'].'<br>';
    echo '内容:'.$row['content'].'<br>';
}

php全局变量-$_SERVER

——显示ip地址,归属地。。。

$_SERVER

--通过UA判断设备

搜: PHP $_SERVER

PHP中$_SERVER的详细用法:

PHP中$_SERVER的详细用法_$_server['http_accept_language']-CSDN博客

——获取IP地址,防代理

function getIp()
{
    if ($_SERVER["HTTP_CLIENT_IP"] && strcasecmp($_SERVER["HTTP_CLIENT_IP"], "unknown")) {
        $ip = $_SERVER["HTTP_CLIENT_IP"];
    } else {
        if ($_SERVER["HTTP_X_FORWARDED_FOR"] && strcasecmp($_SERVER["HTTP_X_FORWARDED_FOR"], "unknown")) {
            $ip = $_SERVER["HTTP_X_FORWARDED_FOR"];
        } else {
            if ($_SERVER["REMOTE_ADDR"] && strcasecmp($_SERVER["REMOTE_ADDR"], "unknown")) {
                $ip = $_SERVER["REMOTE_ADDR"];
            } else {
                if (isset ($_SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER['REMOTE_ADDR'],
                        "unknown")
                ) {
                    $ip = $_SERVER['REMOTE_ADDR'];
                } else {
                    $ip = "unknown";
                }
            }
        }
    }
    return ($ip);
}
​
echo getIp()."<br>";

——站长那查ip时,回显的系统,会看到我的信息,说明他接收了,这时候就把UA头换成js语句,看是否存在洞洞。

--功能越多,洞洞越多。

检测来源

$referer=$_SERVER['HTTP_REFERER'];
$ua=$_SERVER['HTTP_USER_AGENT'];
​
echo $referer."<br>";
echo $ua."<br>";

喜欢吃西瓜~

同源策略:同一ip发送的请求。

墨者-来源页 伪造

--禁止访问,当前页面只允许从谷歌访问

——直接访问属于你没有来源,(空的)从哪里来的!!

改一下来源就好了。

————主要防CSRF攻击,

墨者-ip地址伪造

--人家获取你的ip:做个统计,过滤攻击(自省的来,同乡好啊)。

$_SERVER["HTTP_X_FORWARDED_FOR"]    接收

ip地址换成 127.0.0.1 -->本地,服务器自己。。。

——服务器ip限制,

——其它协议限制:

http协议,

tcp协议(计算机本身)--伪造不了

————网站上的ip检测,可能绕过;服务器自身的协议检测,伪造不了,GG。

金灰
关注
  • 26
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
UA-.NETStandard-Samples
05-15
来自OPC基金会的官方OPC UA .Net标准样本概述.NET Framework 4.6.2,.NET Core 2.0和UWP的示例服务器和客户端,包括所有必需的控件。 集成了官方OPC UA 软件包,其中包含针对的OPC UA参考实现。 .Net Standard允许您...
小迪安全 第14天:php开发-个人博客项目&输入输出&留言板&访问IP&UA来源
qq_65106718的博客
04-08 788
1.PHP-全局变量$_SERVER2.MYSQL-插入语法INSERT3.输入输出-XSS&反射&存储4.安全问题-XSS跨站&CSRF等。
渗透学习-14 - PHP 开发-个人博客项目&输入输出&留言板&访问 IP&UA &来源
2301_78897940的博客
03-04 157
说明这里可以执行script脚本,网站显示的内容是用户可控的。打开 f12 可以看到,输入的变量。如果将搜索内容替换为。
day14个人博客项目&输入输出&留言板&访问IP&UA&来源
wanjia01的博客
05-06 322
前言 #知识点: 1、PHP-全局变量$_SERVER 2、MYSQL-插入语法INSERT 3、输入输出-XSS&反射&存储 4、安全问题-XSS跨站&CSRF等 网站将你的输入 在输出一次,这就叫输入输出漏洞,XSS就是一个典型的输入输出漏洞。 输入输出&留言板&访问获取 <?phpinclude("F:\phpstudy_pro\WWW\blog\config/conn.php"); $s=$_POST['search'];//GET请求接
第九天:信息打点--个人博客项目&输入输出&留言板&访问IP&UA&来源
m0_51322401的博客
12-09 326
​ 存储型(或 HTML 注入型/持久型)XSS 攻击最常发生在由社区内容驱动的网站或 Web 邮件网站,不需要特制的链接来执行。这些地区可能是博客评论,用户评论,留言板,聊天室,HTML 电子邮件,wikis,和其他的许多地方。反射型:黑客发送带有xss恶意脚本的链接,用户点击恶意链接,访问目标服务器,网站将xss同正常页面返回到用户浏览器,用户浏览器解析网页中的恶意代码,发起恶意请求到恶意服务器,​ 存储型XSS漏洞的成因与反射型的根源似,不同的是恶意代码会被保存在服务器中,
prosys-opc-ua-server和prosys-opc-ua-browser安装包
03-17
prosys-opc-ua-server和prosys-opc-ua-browser安装包
UA-.NETStandard-master(源码).zip
03-29
OPC UA基金会的基于C#的源码
mirco.com.ua:Mir&Co Foundation网站
04-07
mirco.com.ua Mir&Co Foundation网站。 已从Wayback机还原。 代码应进行更新和重构。
UA-.NETStandard-master_opc通用架构代码_opcua_opc_ua_DEMO_
10-04
opc通用架构代码基于.net demo
spdlog 日志库部分源码说明——让你可以自定义的指定自动切换日志时间
ALex_zry的博客
04-22 483
针对 网络上spdlog日志库目前存在的使用方式固定,不能发挥这个库本身应有价值的情况,这里对一些支持场景进行说明,以供初学者省去阅读源码的时间,直接上手使用。
Android配置环境
u012627628的博客
04-24 306
执行命令:sudo mv /home/用户名/Downloads/android-sdk-linux /usr/java。sudo mv /home/用户名/Downloads/jdk1.8.0_271 /usr/java。执行命令:/usr/java/android-sdk-linux/tools/android。执行命令:tar -zxvf android-sdk-linux.tgz。执行 source /etc/profile。验证是否安装成功(我验证是成功的)执行:java -version。
bugku ezbypass
m_de_g的博客
04-23 213
bugku ezbypass $++,$_++
JetBrains PhpStorm v2024.1 安装教程 (PHP集成开发IDE)
wyqshusan的博客
04-23 563
PhpStorm是由JetBrains推出的一款轻量级集成开发环境,专为PHP开发者而设计。该软件融合了智能的HTML/CSS/JavaScript/PHP编辑器、代码质量分析工具、版本控制系统集成(包括SVN和GIT)、调试和测试等功能。除此之外,PhpStorm还提供了诸如代码自动完成、语法高亮、实时导航、实时错误检查和代码重构等实用功能。在新版本中,PhpStorm引入了许多新功能,并对现有功能进行了优化和调整。其中包括新增了死代码检测功能,可以帮助检测出冗余代码,并突出显示之前可能未被使用过的
php时间人性化展示
赛时科技
04-22 160
函数,用于将时间戳转换为人性化的时间差。该函数遍历了不同的时间单位,找到合适的单位来表示时间差,并返回相应的字符串。这样,你就可以根据需要将时间以人性化的方式展示给用户了。你可以根据具体需求调整时间格式和单位。函数将其格式化为"年-月-日 时:分:秒"的形式。然后,我们定义了一个。在上面的示例中,我们首先获取了当前的时间戳,并使用。函数来实现时间的人性化展示。函数将"-2 days"转换为时间戳),然后调用。最后,我们假设有一个过去的时间戳(这里使用。函数将其转换为人性化的时间差,并输出结果。
牛客NC368 质数的计数【中等 基础数学,数论 C++/Java/Go/PHP
最新发布
weixin_37991016的博客
04-27 170
【代码】牛客NC368 质数的计数【中等 基础数学,数论 C++/Java/Go/PHP
FRPC+PHP+MYSQL+APACHE2=个人网站
这里没有简介
04-24 397
然后,任意访问 www.domain.com或者222.domain.com,会发现得到的页面都是一样的。可以看到,有很多目录,我想实现 typecho.domain.com,这样的三级域名的方式,访问,应用背景有公网需求,但是又不想去买又贵又低配置的服务器,然后方案就应运而生。PHP+MYSQL+APACHE2,作为网站搭建,具体细节不细讲,custom_domains 其中的值,带上了*,通配符匹配。token = 第三方token。这个时候,需要配置apache。在FRPC.ini的配置里面。
WordPress自动采集发布AutoPostPro汉化版插件
pengqingwen的博客
04-23 247
WP-AutoPostPro 是一款极为出色的WordPress自动采集发布插件,其显著优势在于能够从任何网站抓取内容并自动将其发布到你的WordPress网站上。它实现了对任何网页内容的自动采集和发布,整个采集过程完全自动化,无需手动操作。此外,它还提供了一系列实用功能,如内容筛选、HTML标签过滤、关键词替换、自动添加链接、自动生成标签、自动将远程图片保存到本地服务器、自动为文章添加前缀和后缀,以及使用微软翻译引擎将采集到的文章自动翻译成多种语言进行发布。
php中常见的文件操作方法
赛时科技
04-22 46
请注意,进行文件操作时,确保对文件路径和权限进行正确的处理,以避免出现错误或安全问题。同时,对上传的文件进行适当的验证和过滤,以防止潜在的安全风险。修改文件通常涉及到读取文件内容,进行修改,然后重新写入文件。你可以结合上述的读取和写入操作来实现文件内容的修改。PHP文件常见的操作包括读取、写入、修改、删除以及处理文件上传等操作。这只是一个基本的文件上传处理示例,实际应用中还需要考虑更多的安全性和错误处理机制。超全局数组来获取上传的文件信息。当处理文件上传时,通常使用。
ua-.netstandard-master
08-27
ua-.netstandard-master是一个GitHub上的项目库。 ua-.netstandard-master是一个用于.NET平台的通用用户代理(User-Agent)解析库,它提供了解析HTTP中的User-Agent字符串的功能。 User-Agent字符串是由网络浏览器或其他应用程序发送给网络服务器以标识自身身份的一种机制。 ua-.netstandard-master的主要目的是为开发人员提供一个简单易用的工具,以便他们能够轻松地解析和分析User-Agent字符串。使用ua-.netstandard-master,开发人员可以获得有关User-Agent的详细信息,例如操作系统、浏览器、设备型等,这些信息对于实现浏览器兼容性或进行用户行为分析等非常有用。 ua-.netstandard-master采用C#编写,是一个开源项目,适用于.NET平台上的各种应用程序,包括Web应用程序、移动应用程序和桌面应用程序等。它能够在不同版本的.NET框架上运行,并提供灵活而易于集成的API,使开发人员能够快速地集成该库到自己的项目中。 总结来说,ua-.netstandard-master是一个用于解析User-Agent字符串的通用库,旨在为.NET开发人员提供方便和便捷的功能。借助ua-.netstandard-master,开发人员可以轻松地获取User-Agent相关的信息,从而更好地处理浏览器兼容性和用户行为分析等任务。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

金灰

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值