创建数组
- bool is_numeric ( mixed $var )
检测变量是否为数字或数字字符串,注意,可以是16进制,字符串转16进制可以绕过。is_numeric函数对于空字符%00,无论是%00放在前后都可以判断为非数值。
由于php是弱类型语言,会使用这个函数来判断一下。
- rand(min,max)
生成随机整数
- sleep(seconds)
延迟执行当前脚本若干秒
- bool isset ( mixed $var [, mixed $… ] )
检测变量是否已设置并且非 NULL
- die(message)
输出一条消息,并退出当前脚本。
- md5()
以下值在md5加密后以0E开头:
- QNKCDZO
- 240610708
- s878926199a
- s155964671a
- s214587387a
可以用于md5相等,但两值不相等的情况
base64_encode()、base64_decode()、sha1() 和 strcmp()
传入数组,返回NULL
字符串相关
正则表达式
- int preg_match ( string $pattern , string $subject)
执行一个正则表达式匹配
匹配
这里需要注意一下 i ,表示大小写不敏感,即php、PHP、PhP都会被过滤掉,有的时候没有写i,黑名单里面有select关键字时,我们可以使用SELECT来绕过。
- mb_substr ( string $str , int $start [, int $length = NULL [, string $encoding = mb_internal_encoding() ]] ) : string
返回字符串的一部分,字符串可以包含中文,substr函数是不能包含中文的。
子串
子字符串位置
- mb_strpos ( string
$haystack, string$needle[, int$offset= 0 [, string$encoding= mb_internal_encoding() ]] ) : int
查找字符串在另一个字符串中首次出现的位置(汉字占一个位置),如果没有找到字符串则返回 false。类似的还有:
- strpos()-查找字符串在另一字符串中第一次出现的位置(区分大小写,汉字占两个位置)
- strrpos()-查找字符串在另一字符串中最后一次出现的位置(区分大小写)
- stripos()-查找字符串在另一字符串中第一次出现的位置(不区分大小写)
- strripos()-查找字符串在另一字符串中最后一次出现的位置(不区分大小写)
安全问题
由于返回的是false,一旦使用==进行判断,我们可以构造第二个字符串是第一个的开始,即可绕过
<?php
$str1 = "abcd";
$str2 = "ab";
if(strpos($str1,$str2)==false)
{
echo "flag";
}
?>
绕过结果
- str_replace(find,replace,string,count)
替换字符串中的一些字符(区分大小写),注意,可以通过双写或者大小写进行绕过。
- mixed preg_filter ( mixed $pattern , mixed $replacement , mixed $subject [, int KaTeX parse error: Expected 'EOF', got '&' at position 19: …it = -1 [, int &̲count ]] )
执行一个正则表达式搜索和替换。这个就不太好弄了,可能需要编码绕过。
- htmlspecialchars(string,flags,character-set,double_encode)
把一些预定义的字符转换为 HTML 实体。
预定义的字符是:
- & (和号)成为 &
- " (双引号)成为 "
- ’ (单引号)成为 ’
- < (小于)成为 <
-
(大于)成为 >
故可以使用单引号的payload进行绕过。
- strip_tags(string,allow)
剥去字符串中的 HTML、XML 以及 PHP 的标签。
- addslashes(string)
返回在预定义的字符前添加反斜杠的字符串。
预定义字符是:
- 单引号(')
- 双引号(")
- 反斜杠(\)
- NULL
数据库相关
mysqli
- mysqli_connect(host,username,password,dbname,port,socket)
打开一个到 MySQL 服务器的新的连接。
- mysqli_error(connection)
返回最近调用函数的最后一个错误描述。
- mysqli_close(connection)
关闭先前打开的数据库连接。
- mysqli_query(connection,query,resultmode)
执行某个针对数据库的查询
- mysqli_fetch_assoc(result)
从结果集中取得一行作为关联数组
- mysqli_fetch_row(result)
从结果集中取得一行,并作为枚举数组返回
- mysqli_num_rows(result)
返回结果集中行的数量
- mysqli_real_escape_string(connection,escapestring)
转义在 SQL 语句中使用的字符串中的特殊字符,难道转义后我们就没有办法注入了?NO!!!
php官方函数参考手册中写到,会被进行转义的字符包括: NUL (ASCII 0),\n,\r,\,'," 和 Control-Z.
也就是或如果是数字型注入,例如,payload是 1 and 1=1# ,那么这个函数没有用,因为payload中不包含以上字符。
另外,在调用 mysqli_real_escape_string() 函数之前, 必须先通过调用mysqli_set_charset()函数或者在 MySQL 服务器端设置字符集。如果字符集设置不当,可以通过宽字节注入来进行绕过。
pdo
PHP 数据对象 (PDO) 扩展为PHP访问数据库定义了一个轻量级的一致接口。
PDO 提供了一个数据访问抽象层,这意味着,不管使用哪种数据库,都可以用相同的函数(方法)来查询和获取数据。
- public PDOStatement PDO::prepare ( string $statement [, array $driver_options = array() ] )
为 PDOStatement::execute() 方法准备要执行的SQL语句,SQL语句可以包含零个或多个命名(:name)或问号(?)参数标记,参数在SQL执行时会被替换。这样就没法破坏sql语句的结构,不是拼接,也就是网络安全-SQL注入原理及防御SQL注入中提到的sql注入防御的第一种。
举例:
prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' );
你以为sql语句是
SELECT first_name, last_name FROM users WHERE user_id = id LIMIT 1;
于是使用 1 or 1=1#作为payload,认为下面的sql语句会被执行
SELECT first_name, last_name FROM users WHERE user_id =1 or 1=1#
但实际上执行的是
SELECT first_name, last_name FROM users WHERE user_id =1 or 1=1#LIMIT 1;
或者说 直接判断 1 or 1=1# 是不是数字型参数,不是的话根本就不会去执行,也就安全了。
- bool PDOStatement::bindParam ( mixed KaTeX parse error: Expected 'EOF', got '&' at position 19: …ameter , mixed &̲variable [, int $data_type = PDO::PARAM_STR [, int $length [, mixed $driver_options ]]] )
绑定一个PHP变量到用作预处理的SQL语句中的对应命名占位符或问号占位符。
例如(绑定变量id与prepare里的id):
bindParam( ':id', $id, PDO::PARAM_INT )
- bool PDOStatement::execute ([ array $input_parameters ] )
执行预处理过的语句。
mixed PDOStatement::fetch ([ int $fetch_style [, int $cursor_orientation = PDO::FETCH_ORI_NEXT [, int $cursor_offset = 0 ]]] )
从一个 PDOStatement 对象相关的结果集中获取下一行。
* ```
int PDOStatement::rowCount ( void )
返回上一个由对应的 PDOStatement 对象执行DELETE、 INSERT、或 UPDATE 语句受影响的行数。
伪协议相关
函数
伪协议方法
反序列化漏洞
PHP提供serialize和unserialize函数,将任意类型的数据转换成string类型或者相反。当unserialize函数的参数被用户控制的时候就会形成反序列化漏洞。
serialize函数
serialize() 函数用于序列化对象或数组,并返回一个字符串**,**序列化对象后,可以很方便的将它传递给其他需要它的地方,且其类型和结构不会改变。
string serialize ( mixed $value )
参数
$value: 要序列化的对象或数组。
返回
字符串
unserialize函数
unserialize() 函数用于将通过serialize() 函数序列化后的对象或数组进行反序列化,并返回原始的对象结构。
mixed unserialize ( string $str )
参数
$str: 序列化后的字符串。
返回
返回的是转换之后的值,可为 integer、float、string、array 或 object。
如果传递的字符串不可解序列化,则返回 FALSE,并产生一个 E_NOTICE。
魔法函数
序列化对象就要谈到类,其中有三个魔法函数:__construct、__destruct、__toString。
<?php
class test{
var $url;
var $name;
function __construct( $par1, $par2 ) {
$this->url = $par1;
$this->name = $par2;
echo "call __construct<br>";
}
function __toString() {
echo "call __toString<br>";
return $this->url;
}
function __destruct() {
echo "call __destruct<br>";
echo "bye<br>";
}
}
$t = new test('https://blog.csdn.net/lady_killer9','FrankYu');
echo $t . PHP_EOL;
?>
魔法函数
- __construct在创建对象时被调用
- __toString在对象被当做字符串时被调用
- __destruct在脚本结束时被调用
举例
有这样一段代码
<?php
class test{
var $path = "";
function __toString() {
$file = fopen($this->path, "r") or exit("无法打开文件!");
// 读取文件每一行,直到文件结尾
while(!feof($file))
{
echo fgets($file). "<br>";
}
fclose($file);
return $this->path;
}
}
$para = '';
echo unserialize($para);
?>
其中,para是你可控的,代码的作用就是反序列化你传入的参数,然后打印出来。
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!
王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。
对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!
【完整版领取方式在文末!!】
93道网络安全面试题
内容实在太多,不一一截图了
黑客学习资源推荐
最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
😝朋友们如果有需要的话,可以联系领取~
1️⃣零基础入门
① 学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
② 路线对应学习视频
同时每个成长路线对应的板块都有配套的视频提供:
2️⃣视频配套工具&国内外网安书籍、文档
① 工具
② 视频
③ 书籍
资源较为敏感,未展示全面,需要的最下面获取
② 简历模板
因篇幅有限,资料较为敏感仅展示部分资料,添加上方即可获取👆
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
15万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
