1、PHP代码工具
初学者选择工具有三个原则:
不推荐使用带有自动提示的工具
写完的代码必须要有颜色高亮显示
不要使用txt文本编辑器等无代码颜色显示的编辑器
2、推荐的开发工具
PHPstorm(强烈推荐)
二、PHP零基础知识入门到精通教程之PHP语言代码语法
1、PHP函数知识介绍
在这个test.php文件中写入代码用浏览器打开,如下代码:
2、代码信息解读说明:
phpinfo是一个函数(功能),这个函数会显示一个当前电脑(服务器)的详细信息,PHP代码里每写完一段代码,就需要在后面加分号表示代码写完了
3、代码编写注意事项:
PHP的代码信息全部要用半角的英文、很多人容易写成全角的英文/中文和符号造成PHP代码报错。
PHP代码的最后一行可以加也可不加分号。由于很多学习者特别是初学者经常犯一个毛病,写完一行代码不加分号,因此容易犯错,某些公司规定一行代码写完,就必须加分号。
我们在写文件test.php这个文件命名的时候,只要英文半角(a-z A-Z 0-9 _-)这些字符来命名文件,文件命名不要用中文,不要用特殊符号,不要中间加空格,严格区分大小。
普通模式
关闭路由,完全使用默认的pathinfo方式URL:
‘url_route_on’=>false,
路由关闭后,不会解析任何路由规则,采用默认的PATH_INFO模式访问URL:
module/controller/action/param/value/…
module就是使用的应用。
controller是控制器,跟文件名一致。
action是方法,某控制器下的方法。
param是需要的变量
value是参数
但仍然可以通过Action参数绑定、空控制器和空操作等特性实现URL地址的简化
5.2.混合模式
开启路由,并使用路由+默认PATH_INFO方式的混合:
‘url_route_on’=>true,
该方式下面,只需要对需要定义路由规则的访问地址定义路由规则,其它的仍然按照默认的PATH_INFO模式访问URL。
5.3.强制模式
开启路由,并设置必须定义路由才能访问:
‘url_route_on’=>true,‘url_route_must’=>true,
这种方式下面必须严格给每一个访问地址定义路由规则,否则将抛出异常。
首页的路由规则是/。
其实,在实际审计过程中,我一般会先去黑盒访问一遍功能点,分析后差不多也能知道路由怎样构成,如果有的地方不清楚,可以去源码中找路由文件
一般带有route关键词的文件,或文件夹与路由有关。
分析好路径,之后就可以真正的开始审计。
00×6审计
在人工审计之前,可以使用我之前提到的xcheck、Fotify、codeql等自动化审计工具先审计一遍,根据报告,验证一遍,再往下去根据下面的步骤审一遍,一个项目,也就能审个七七八八了,深层次的利用也就得看自身的实力与经验了。
如果使用了框架,可以先看看此项目还有没有框架的漏洞存在,我就不再赘述了。