安全开发--php留言板

已于 2024-06-23 11:29:21 修改
阅读量219 收藏 3
点赞数 5
分类专栏: 渗透 安全开发 文章标签: 数据库
于 2024-06-20 09:17:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65342309/article/details/139484124
版权

数据导入

1、数据库名,数据库表名,数据库列名

2、数据库数据,格式类型,长度,键等

创建数据库

php连接数据库

常用 
mysqli_connect()	打开一个到MySQL的新的连接。
mysqli_select_db()	更改连接的默认数据库。
mysqli_query()	执行某个针对数据库的查询。
mysqli_fetch_row()	从结果集中取得一行,并作为枚举数组返回。
mysqli_close()	关闭先前打开的数据库连接。

html,php混编

html在php中运行

<?php
   echo '<script>alert('x');</script>'
?>

超全局变量

$GLOBALS:这种全局变量用于在 PHP 脚本中的任意位置访问全局变量
$_SERVER:这种超全局变量保存关于报头、路径和脚本位置的信息。
$_REQUEST:$_REQUEST 用于收集 HTML 表单提交的数据。
$_POST:广泛用于收集提交method="post" 的HTML表单后的表单数据。
$_GET:收集URL中的发送的数据。也可用于收集提交HTML表单数据(method="get") $_FILES:文件上传且处理包含通过HTTP POST方法上传给当前脚本的文件内容。
$_ENV:是一个包含服务器端环境变量的数组。
$_COOKIE:是一个关联数组,包含通过cookie传递给当前脚本的内容。
$_SESSION:是一个关联数组,包含当前脚本中的所有session内容。

第三方插件引用-js传参&函数对象调用

引用:<script src='../xxx.js'></script>
函数对象调用:
var obj = {
    value : 0,
    increment : function (inc) {   
        this.value += typeof inc === 'number' ? inc :1;
        //设置inc且为数字时 value=inc 反之 value=1
    }
}
obj.increment();
console.log(obj.value);  //1
obj.increment(2);
console.log(obj.value);  //2

mysql命令

查:select * from 表名 where 列名='条件';
增:insert into 表名(`列名1`, `列名2`) value('列1值1', '列2值2');
删:delete from 表名 where 列名 = '条件';
改:update 表名 set 列名 = 数据 where 列名 = '条件';

get和post请求的差别

参考:https://blog.csdn.net/qq_43588129/article/details/115218995

          https://blog.csdn.net/m0_71808387/article/details/136835007

测试代码

整块代码编写

<form id="form1" name="form1" method="post" action="" >
    用户名:<input type="text" name="username"><br>
    内容:<textarea name="content" style="border"> </textarea><br>
    <input type="submit" name="submit" id="submit" value="提交"> </form>
<?php
$dbip = "localhost";
$dbuser = "root";
$dbpass = "root";
$dbname = "zx";
$ok = "ok";
$con = mysqli_connect($dbip, $dbuser, $dbpass, $dbname);

if (!$con) {
    die("连接错误:" . mysqli_connect_error());
} else {
    $u = @$_POST['username'];
    if (isset($u)) {     
        // 检查用户名是否为空
        if (trim($u) == '') {
            echo "<script>alert('用户名不能为空!');</script>";
        } else {
            $c = @$_POST['content'];
            $i = @$_SERVER['REMOTE_ADDR'];
            $ui = @$_SERVER['HTTP_USER_AGENT'];
            $sql = "INSERT INTO gbook(`username`, `content`, `ipaddr`, `uagent`) VALUES ('$u', '$c', '$i', '$ui')";
            
            if (mysqli_query($con, $sql)) {
                echo "<script>alert('留言成功!')</script>";
                $sql = "SELECT * FROM gbook";
                $data = mysqli_query($con, $sql);
                
                while ($row = mysqli_fetch_row($data)) {
                    echo '<hr>';
                    echo '用户名:' . $row[0] . '<br>';
                    echo '内容:' . $row[1] . '<br>';
                    echo 'IP地址:' . $row[2] . '<br>';
                    echo 'UA浏览器:' . $row[3] . '<br>';
                }  
            } else {
                echo "<script>alert('留言失败!')</script>";
            }
        }
    }
}
?>

拆开文件编写

 admin.php

<script src="/ueditor/ueditor.config.js">/*引入配置文件*/</script>
<script src="/ueditor/ueditor.all.js">/*引入源码文件*/</script>

<form id="form1" name="form1" method="post" action="">

	  用户名:<input type="text" name="username" maxlength="2000"><br>

  内容:

	  <textarea id="content" rows="10" cols="70" name="content" style="border:1px solid #E5E5E5;">
    </textarea>
    <script type="text/javascript">
        UE.getEditor("content");

        //实例化编辑器传参,id为将要被替换的容器。
    </script>


	  <input type="submit" name="submit" id="submit" value="提交">
	
</form>
<?php
include 'config.php';

function add_gbook($con){
    if (!$con) {
        die("连接错误:" . mysqli_connect_error());
    } else {
        $u = @$_POST['username'];
        if (isset($u)) {     
            // 检查用户名是否为空
            if (trim($u) == '') {
                echo "<script>alert('用户名不能为空!');</script>";
            } else {
                $c = @$_POST['content'];
                $i = @$_SERVER['REMOTE_ADDR'];
                $ui = @$_SERVER['HTTP_USER_AGENT'];
                $sql = "INSERT INTO gbook(`username`, `content`, `ipaddr`, `uagent`) VALUES ('$u', '$c', '$i', '$ui')";
                
                if (mysqli_query($con, $sql)) {
                    echo "<script>alert('留言成功!')</script>";
                }
            }
        }
    }        
}

function show_gbook($con,$del){
    $sqll = "SELECT * FROM gbook";
    $data = mysqli_query($con, $sqll);                
    while ($row = mysqli_fetch_row($data))
    {
            echo '<hr>';
            echo '用户名:' . $row[0] . '<br>';
            echo '内容:' . $row[1] . '<br>';
            echo 'IP地址:' . $row[2] . '<br>';
            echo 'UA浏览器:' . $row[3] . '<br>';
            if($del == 'del'){
                echo "<a href='gbook.php?del=$row[0]'>删除</a>";
            }
    }  
}    

add_gbook($con);
show_gbook($con,'x');

config.php

<?php
$dbip = "localhost";
$dbuser = "root";
$dbpass = "root";
$dbname = "zx";
$ok = "ok";
$con = mysqli_connect($dbip, $dbuser, $dbpass, $dbname);
?>

gbook.php

<?php
include 'config.php';
include 'admin.php';
show_gbook($con,'del');
// $sqll = "SELECT * FROM gbook";
// $data = mysqli_query($con, $sqll);                
// while ($row = mysqli_fetch_row($data))
// {
//     echo '<hr>';
//     echo '用户名:' . $row[0] . '<br>';
//     echo '内容:' . $row[1] . '<br>';
//     echo 'IP地址:' . $row[2] . '<br>';
//     echo 'UA浏览器:' . $row[3] . '<br>';
//     echo "<a href='gbook.php?del=$row[0]'>删除</a>";
// }
$delstr=@$_GET['del'];
if(isset($delstr)){
    $sql2="delete from gbook where username = '$delstr';";
    if(mysqli_query($con,$sql2)){
        echo "<script>alert('删除成功!')</script>";
    }
}  
?>

诸葛哈哈
关注
  • 5
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
安全开发-PHP应用&留言板功能&超全局变量&数据库操作&第三方插件引用&后台模块&Session&Cookie&Token&身份验证&唯一性
今天是几号的博客
07-15 4100
而不采用token机制的Web应用程序,一般会使用session机制来保存用户登录状态,服务器会在用户登录成功后创建一个session,之后的每个请求都需要在HTTP头中附带这个session ID,以便服务器能够验证用户身份。而不采用token机制的Web应用程序,一般会在服务器上存储用户的登录状态,因此如果服务器被黑客攻击,黑客可能会获得用户的敏感信息。而不采用token机制的Web应用程序,在跨域访问时,需使用cookie或session来传递用户身份信息,比较麻烦。
小迪安全 第14天:php开发-个人博客项目&输入输出类&留言板&访问IP&UA头来源
qq_65106718的博客
04-08 863
1.PHP-全局变量$_SERVER2.MYSQL-插入语法INSERT3.输入输出-XSS&反射&存储4.安全问题-XSS跨站&CSRF等。
022-安全开发-PHP应用&留言板功能&超全局变量&数据库操作&第三方插件引用
wushangyu32335的博客
01-23 1473
小迪安全2023笔记
第22天:安全开发-PHP应用&留言板功能&超全局变量&数据库操作&第三方插件引用
IceCream的博客
04-19 1257
php//包含文件//查询数据库所有数据//执行该结果并将结果存储在data中echo '用户名:' . $row[0] . '';echo '内容:' . $row[1] . '';echo 'IP地址:' . $row[2] . '';echo 'UA浏览器:' . $row[3] . '';del =$row0'>删除 ";//输出一个删除按钮,href写的是当前文件名,del是删除对象,值为用户名//接收del的值,参数名位del。
html php mysql 前后端分离打造留言板
qq8460106的博客
01-11 640
创建一个简单的留言板涉及到前端(HTML + JavaScript)、后端(PHP)、以及数据库(MySQL)的交互。
php基础知识点及留言板功能实现
狸匪的博客
01-14 4147
1、变量赋值时单引号与双引号的区别 在给字符串变量赋值的时候使用单引号时在编译时并不会识别单引号中变量,而使用双引号则会识别双引号中的变量 2、数组的增删改查 数组使用 键+值 的表达方式,键跟C语言中的数组指针类似 增:只需要定义数组新的对应下标的值就行 删:使用 unset(数组键)函数 删除某一数组元素 改:指定对应数组的元素,重新赋值即可 查:echo 数组键 3、前端数据发送与后端接受(与数组有关) 通过表单中POST方式提交 ...
Day22:安全开发-PHP应用&留言板功能&超全局变量&数据库操作&第三方插件引用
qq_61553520的博客
03-07 1311
小迪安全-Day22:安全开发-PHP应用&留言板功能&超全局变量&数据库操作&第三方插件引用
基于PHP留言板毕业论文,网络留言板
weixin_29001423的博客
04-04 457
网络留言板也就是BBS,是互联网上一种人与人之间交互的必备工具,注册登录的用户都可以在留言板上发布信息或者提出意见看法,其交互性强,而且是一种即时的系统,为人们提供了一个信息交流的空间。该留言本基于BS模式,使用Dreamweaver进行页面设计,php编程语言结合mysql数据库进行整个网站的开发,系统功能简单,开发周期短,完全可以达到用户无需专门培训就可以使用留言板的各项功能。主要适用于简单的...
PHP应用&留言板功能&超全局变量&数据库操作&第三方插件引用
m0_69440276的博客
10-24 103
php基础知识
PHP留言板小项目(大作业)-PHP代码类资源
m0_73546099的博客
06-14 381
欢迎进入本站留言板 <a target="_blank"><font color="#ffffff">版权所有 © 2014-2015</font></a></div></td>>">上页</a> <?<td class="l"><div align="center">留言内容 <span class="style1">*</span>
商业编程-源码-渝海PHP留言板 v1.2.zip
06-24
总的来说,渝海PHP留言板 v1.2 涉及到的技术和知识点相当广泛,包括PHP编程、数据库设计、前端开发安全防护以及性能优化等多个方面,对于想要学习或深入理解Web开发开发者来说,这是一个很好的实践案例。...
商业编程-源码-迷你PHP留言板 v1.75.zip
06-23
迷你PHP留言板 v1.75 是一款专门为商业编程场景设计的开源代码库,它提供了基本的留言交流功能,便于用户在网站上互动。这个压缩包包含的文件是该留言板系统的完整源码,允许开发者进行二次开发和定制,以适应不同...
PHP实例开发源码-小海PHP留言板.zip
11-22
PHP实例开发源码-小海PHP留言板】是一款基于PHP编程语言实现的简单留言板系统,旨在帮助初学者理解和实践PHP的网页开发技术。这个实例涵盖了基础的PHP语法、表单处理、数据库交互以及用户交互设计等多个核心知识点...
PHP实例开发源码-小爬虫php留言板.zip
11-22
PHP留言板是Web开发中常见的练习项目,用于展示动态内容的处理和用户交互。它通常由以下组件组成: 1. **前端界面**:HTML和CSS用于创建用户友好的表单,用户可以输入留言内容并提交。可能还包含JavaScript以进行...
商业编程-源码-迷你php留言板 v1.80.20000507.zip
06-23
迷你PHP留言板可能应用了一些安全措施,如XSS防护、CSRF令牌、输入验证等,以保护用户数据和整个系统的安全。 8. **用户体验**:除了基本功能外,还可能包含一些提升用户体验的特性,如分页显示、时间戳转换、...
初始C++
2302_81016149的博客
07-08 809
在C语言我们学习函数的时候,我们学习过生命周期这个概念。那么,什么是生命周期呢?生命周期通常指的是一个对象或变量从创建到销毁所经历的时间段。那么,命名空间是什么?咱们可以这样理解:在这个空间的生命周期内,对这个空间内的全部标识符起一个名字,可对其进行引用,可类似与C语言中的结构体。#include<stdlib.h>//此处不包此头文件代码可正常运行,那该如何解决此处情况呢?int main()//此处编译不通过原因为:在不包头文件前为变量,包含后为函数。return 0;
set user & password for database 设置数据库 用户和密码
最新发布
DavidsonGong的博客
07-12 104
USE sbms;
7.10飞书一面面经
东篱君的博客
07-10 1139
B+树的⾮叶⼦节点不存放实际的记录数据,仅存放索引,所以数据量相同的情况下,相⽐存储即存索引⼜存记录的 B 树,B+树的⾮叶⼦节点可以存放更多的索引,因此 B+ 树可以⽐ B 树更「矮胖」,查询底层节点的磁盘 I/O次数会更少。主从复制:单节点Redis的并发能力是有上限的,要进一步提高Redis的并发能力,可以搭建主从集群,实现读写分离。B+ 树有⼤量的冗余节点(所有⾮叶⼦节点都是冗余索引),这些冗余索引让 B+ 树在插⼊、删除的效率都更⾼,⽐如删除根节点的时候,不会像 B 树那样会发⽣复杂的树的变化;
mysql笔记1
m0_62975692的博客
07-11 277
首先查看systemctl status mysqld,如果是关闭的可以进入的配置文件打开mysql,我的mysql配置文件就是在/usr/local/mysql/support-filess/下,在此目录下执行./mysql.server start,打开mysql服务,也可以通过systmectl start mysqld,如果你嫌麻烦的话可以systemctl enable mysqld 一直打开mysql的服务;重新给字段添加约束的时候不可以添加not null约束的!
PHP留言板系统论文.doc
11-29
"PHP留言板系统论文" ...PHP是一种广泛应用于Web开发...这个PHP留言板系统的设计和实现,不仅锻炼了学生的编程技能,也提升了他们的项目管理和文档编写能力,是网络系统管理专业学生全面掌握Web开发技能的重要实践项目。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值