PHP伪静态与防注入

最新推荐文章于 2024-06-11 18:30:00 发布
最新推荐文章于 2024-06-11 18:30:00 发布
阅读量1.2k 收藏
点赞数 1
分类专栏: php+mysql系列文摘
PHP伪静态,主要是为了隐藏传递的参数名;于网上搜索后整理伪静态四法 

代码 

Code highlighting produced by Actipro CodeHighlighter (freeware)http://www.CodeHighlighter.com/--><?php
//伪静态方法一

// localhost/php100/test.php?id|1@action|2
$Php2Html_FileUrl = $_SERVER["REQUEST_URI"];
echo $Php2Html_FileUrl."<br>";// /php100/test.php?id|1@action|2
$Php2Html_UrlString = str_replace("?","",str_replace("/", "", strrchr(strrchr($Php2Html_FileUrl, "/"),"?")));
echo $Php2Html_UrlString."<br>";// id|1@action|2
$Php2Html_UrlQueryStrList = explode("@", $Php2Html_UrlString);
print_r($Php2Html_UrlQueryStrList);// Array ( [0] => id|1 [1] => action|2 )
echo "<br>";
foreach($Php2Html_UrlQueryStrList as $Php2Html_UrlQueryStr)
{
$Php2Html_TmpArray = explode("|", $Php2Html_UrlQueryStr);
print_r($Php2Html_TmpArray);// Array ( [0] => id [1] => 1 ) ; Array ( [0] => action [1] => 2 )
echo "<br>";
$_GET[$Php2Html_TmpArray[0]] = $Php2Html_TmpArray[1];
}
//echo '假静态:$_GET变量<br />';
print_r($_GET); // Array ( [id|1@action|2] => [id] => 1 [action] => 2 )
echo "<br>";
echo "<hr>";
echo $_GET[id]."<br>";// 1
echo $_GET[action];// 2
?>

 

代码 
<?php
//伪静态方法二

// localhost/php100/test.php/1/2
$filename = basename($_SERVER['SCRIPT_NAME']);
echo $_SERVER['SCRIPT_NAME']."<br>";// /php100/test.php
echo $filename."<br>";// test.php

if(strtolower($filename)=='test.php'){
 if(!empty($_GET[id])){
  $id=intval($_GET[id]);
  echo $id."<br>";
  $action=intval($_GET[action]);
  echo $action."<br>";
 }else{
  $nav=$_SERVER['REQUEST_URI'];
  echo "1:".$nav."<br>";// /php100/test.php/1/2
  $script=$_SERVER['SCRIPT_NAME'];
  echo "2:".$script."<br>";// /php100/test.php
  $nav=ereg_replace("^$script","",urldecode($nav));
  echo $nav."<br>"; // /1/2
  $vars=explode("/",$nav);
  print_r($vars);// Array ( [0] => [1] => 1 [2] => 2 )
  echo "<br>";
  $id=intval($vars[1]);
  $action=intval($vars[2]);
 }
 echo $id.'&'.$action;
}
?>


 

代码 

<?php
//伪静态方法三


function mod_rewrite(){
global $_GET;
$nav=$_SERVER["REQUEST_URI"];
echo $nav."<br>";
$script_name=$_SERVER["SCRIPT_NAME"];
echo $script_name."<br>";
$nav=substr(ereg_replace("^$script_name","",urldecode($nav)),1);
echo $nav."<br>";
$nav=preg_replace("/^.ht(m){1}(l){0,1}$/","",$nav);//这句是去掉尾部的.html或.htm
echo $nav."<br>";
$vars = explode("/",$nav);
print_r($vars);
echo "<br>";
for($i=0;$i<Count($vars);$i+=2){
$_GET["$vars[$i]"]=$vars[$i+1];
}
return $_GET;
}
mod_rewrite();
$year=$_GET["year"];//结果为'2006'
echo $year."<br>";
$action=$_GET["action"];//结果为'_add'
echo $action;
?>



 

代码 

Code highlighting produced by Actipro CodeHighlighter (freeware)http://www.CodeHighlighter.com/--><?php
//伪静态方法四

//利用server变量 取得PATH_INFO信息 该例中为 /1,100,8630.html   也就是执行脚本名后面的部分
if(@$path_info =$_SERVER["PATH_INFO"]){
//正则匹配一下参数
if(preg_match("/\/(\d+),(\d+),(\d+)\.html/si",$path_info,$arr_path)){
$gid     =intval($arr_path[1]); //取得值 1
$sid     =intval($arr_path[2]);   //取得值100
$softid   =intval($arr_path[3]);   //取得值8630
}else die("Path:Error!");
//相当于soft.php?gid=1&sid=100&softid=8630
}else die('Path:Nothing!');
?>


 

代码 

Code highlighting produced by Actipro CodeHighlighter (freeware)http://www.CodeHighlighter.com/-->PHP防注入,主要是为了防止恶意写入后台数据库;
//防注入函数
function inject_check($sql_str){
 $check=eregi('select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file
|outfile', $sql_str);
if($check){
 echo "输入非法内容";
 exit();
 }else{
  return $sql_str;
 }
}
//接收传递参数后进行转换
$_GET[type]=inject_check($_GET[type]);
//之后再使用转换后的参数

找到快乐的根源
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
常见SQL注入手法
weixin_57048716的博客
11-26 1638
1.联合查询 2.伪静态注入 3.宽字节注入 4.报错注入 5.基于布尔盲注 6.基于延时的盲注 7.堆叠注入 8.二次注入
php伪静态 源码,伪静态几种做法-PHP源码
weixin_35554273的博客
03-10 865
《script》ec(2);《script》很多seoer都说把文件做成静态这样对搜索引擎是最好的了,但是像我们这些买别人的虚拟空间,是有限的但是又想以静态形式,如果生成真正的静态如果你的网站有1000000篇文件生成静态就要占很大的空间,这样的话增加了我们的费用,所以就出现了伪静态这个名词,伪静态有很多种做法,下面我们来一一讲解一下吧.第一种就是以aa.php/aaaa_1_.htm这种形式,这...
漏洞挖掘 | 记一次伪静态页面的SQL注入
最新发布
2301_80127209的博客
06-11 408
在尝试sql注入的时候,往往过分关注get传参或者post传参而忽略了URL中自带的注入点,有时候一些明显的数字型参数也能够带入payload多尝试,多总结祝各位师兄们也都收获满满~~!申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。免费领取安全学习资料包!渗透工具技术文档、书籍面试题帮助你在面试中脱颖而出视频基础到进阶。
php中的.htaccess文件的运用
weixin_42371812的博客
04-02 698
何为伪静态,简单来说,就是把后缀为php的的路由,伪装成.html,或者,在一些php的框架中,入口文件为index.php的文件直接隐藏了。再都,如果从seo方面来说,搜索引擎更喜欢爬html的静态文件。OK,这个http.conf设置完之后,就可以在.htaccess的文件中写我们伪静态方法了。然后,改了httpd.conf的配置之后,记得一定得重启你的apache服务,不然不会生效。首先,我得先说明一下,要想实现伪静态,我们必须先在apache的配置文件那儿做一些设置。
php伪静态教程,PHP伪静态的图文代码详细介绍
weixin_28707365的博客
03-10 653
前言关于伪静态的话题,众说纷纭。我不是很在意这些讨论,但是有一些大牛给出的看法确实是很有味道的, 而且也是比较的公正。使用了伪静态的话,会耗费CPU资源,但是对于SEO什么的更加有益;不适用伪静态而是使用纯静态(如html)的话,会造成硬盘读写瓶颈;不管怎样,秉承学习新知识的理念,了解一下伪静态的实现还是挺好的。与JavaWeb中实现伪静态的思路有点不太一致(但是原理其实上是一致的啦,不过多解释了...
PHP 伪静态规则、写法
L_iuq_ingy_ang的博客
05-25 5337
一.伪静态定义(百度百科)       伪静态是相对真实静态来讲的,通常我们为了增强搜索引擎的友好面,都将文章内容生成静态页面,但是有的朋友为了实时的显示一些信息。或者还想运用动态脚本解决一些问题。不能用静态的方式来展示网站内容。但是这就损失了对搜索引擎的友好面。怎么样在两者之间找个中间方法呢,这就产生了伪静态技术。就是展示出来的是以html一类的静态页面形式,但其实是用ASP(php)一类的动态...
PHP针对伪静态注入总结【附asp与Python相关代码】
10-19
主要介绍了PHP针对伪静态注入,结合实例形式总结分析了php针对伪静态的常见注入情况,并附带asp与Python的相关操作代码,对于php程序安全有一定借鉴价值,需要的朋友可以参考下
使用纯php代码实现页面伪静态的方法
12-18
此外,还推荐了一些相关的文章,如PHP针对伪静态注入总结、PHPCMS手机站伪静态设置、PHP伪静态Rewrite在Apache中的配置等,这些都是伪静态实现过程中的常见问题和解决方案。 总之,通过纯PHP代码实现的伪静态方法...
伪静态注入中转突破伪静态
07-24
伪静态注入中转突破伪静态】是一种网络安全技术,用于在动态网站中模拟静态页面,以提高搜索引擎优化和用户体验。然而,这种技术也带来了一定的安全隐患,因为伪静态URL结构使得传统SQL注入攻击手段变得更为复杂。...
PHP 伪静态技术原理以及突破原理实现介绍
10-27
总的来说,PHP伪静态技术主要通过URL重写实现,目的是使动态网站看起来像静态网站,从而提高搜索引擎的友好度和网站的安全性。然而,如果不正确地实现或配置,可能会导致安全风险,比如上述的注入问题。因此,在使用...
PHP伪静态写法附代码
10-30
PHP伪静态写法 伪静态又名:URL重写主要是为了SEO而生的。(SEO是什么?这个不用问我吧。呵呵~搞网络的不懂SEO那就~~~~)
php伪静态示例
11-06
php伪静态php伪静态php伪静态php伪静态php伪静态php伪静态
伪静态的sql注入
p_utao的博客
09-17 2804
伪静态是什么 伪静态是相对真实静态来讲的,通常我们为了增强搜索引擎的友好面,都将文章内容生成静态页面,但是有的朋友为了实时的显示一些信息。或者还想运用动态脚本解决一些问题。不能用静态的方式来展示网站内容。但是这就损失了对搜索引擎的友好面。怎么样在两者之间找个中间方法呢,这就产生了伪静态技术。伪静态技术是指展示出来的是以html一类的静态页面形式,但其实是用ASP一类的动态脚本来处理的。 伪静态验证 既然,我们了解什么是伪静态后,那么我们怎么判断一个网站是静态还是伪静态的呢? 首先我们可以根据网站最后的修
【漏洞挖掘】——25、XXE靶机实践测试
Fly_鹏程万里
03-08 8507
Haboob团队根据https://www.exploit-db.com/docs/45374发表的论文"XML外部实体注入-解释和利用"制作了这个虚拟机以利用私有网络中的漏洞,我们希望你喜欢这个挑战!
SQL注入之——伪静态注入
weixin_41657031的博客
07-15 2208
1.什么是伪静态注入? 答:“伪静态”顾名思义就是一种表面上看似是静态网页(以.html、.htm等结尾),不存在任何的数据交互,却其实是动态网页,存在数据交互的网站,具有这种特性的网页成为“伪静态网页”。我们看到的伪静态网页其实是经过处理的,将动态网页的id等参数通过URL重写来隐藏,让查看者以为是静态网页。展示出来的是以html一类的静态页面形式,但其实是用PHP一类的动态脚本来处理的。 2....
thinkphp 常用伪静态
qq_44660016的博客
05-31 2470
老是忘记,找起来又费事,所以自己记录一下 nginx location / { if (!-e KaTeX parse error: Expected '}', got 'EOF' at end of input: … rewrite ^(.*) /index.php?s=/$1 last; } } apache RewriteCond %{REQUEST_FILENAME} !-d RewriteCond %{REQUEST_FILENAME} !-f RewriteRule ^(.*)$ inde
怎样实现php伪静态,php实现伪静态的二种方法介绍
weixin_31061573的博客
03-11 1357
一、根据$_SERVER['PATH_INFO']来操作实现。示例:http://127.0.0.1/show_new.php/look-id-1.shtmlecho $_SERVER['PATH_INFO'] 的输出为:/look-id-1.shtml。1、index.php复制代码 代码示例:/*** php伪静态* www.jbxue.com*/$conn=mysql_connect("lo...
【渗透测试】关于伪静态页面
ssrf
12-23 1124
目录一 、phpstudy配置伪静态1 检测Apache是否支持mod_rewrite2 让apache服务器支持.htaccess3 建立.htaccess 文件 一 、phpstudy配置伪静态 1 检测Apache是否支持mod_rewrite 通过php提供的phpinfo()函数查看环境配置,通过Ctrl+F查找到Loaded Modules,其中列出了所有apache2handler已经开启的模块,如果里面包括mod_rewrite,则已经支持,不再需要继续设置。 如果没有开启mod_rew
伪静态sql注入sqlmap
09-20
伪静态SQL注入是指在伪静态页面中通过注入恶意的SQL语句来获取或修改数据库中的信息。与真实的静态页面不同,伪静态页面是通过服务器脚本将动态内容转化为静态的HTML页面。在注入御方面,PDO(PHP Data Object)...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值