- 博客(12)
- 收藏
- 关注
RSS订阅原创 PHP学习笔记(3)--最后
形参是实参的载体,实参调用的时候,需要传入到函数内部参与计算的,那么需要在函数内部去找到实际数据所在的位置才能找到数据本身:需要实际调用的时候,将数据以实参形式传递给实参,从而使得函数内部可以用到外部数据。静态变量:static,是在函数内部定义的变量,使用static关键字修饰,用来实现跨函数共享数据的变量:函数运行结束所有局部变量都会清空,如果重新运行一下函数,所有的局部变量又会重新初始化。以上这种定义形式才是引用传递。但是通过伪类型可以帮助程序员去更好的查看我们的操作手册,从而更好的学习。
2023-05-07 20:47:32
190
原创 阿里云linux转换windows搭建靶场,以及靶场实验
level 设置注入探测等级共有五个等级,默认为1级, 这个参数不仅影响使用哪些payload同时也会影响测试的注入点,GET和POST的数据都会测试,HTTP Cookie在level为2的时候就会测试,HTTP User-Agent/Referer头在level为3的时候就会测试。sqlmap -u URL -D dvwa -T users -C "字段1,字段2" --dump -v 3。sqlmap -u "URL" -D 指定的库名 -T 指定的表名 --columns。
2023-05-05 13:13:12
747
4
原创 利用阿里云主机快速搭建基于wordpress的个人博客网站
点击登录后,可以选择更新管理员邮箱,我这里图方便则直接确认,点击即可进入网站后台。显示如下则进入了云主机了。
2023-04-27 17:54:01
416
原创 PHP学习笔记(2)
do-while:看着很像while,while首先进行条件判断,然后执行循环体,有可能出现第一次就条件不满足,那么就会直接失败(循环体一次都不执行)。php本身是嵌入html中的脚本语言,需要在html中书写一些关于判断或者循环的结构语法,必须符合php标签规范,需要html与php进行混搭,如果使用原始的php代码那么非常不美观。因为循环经常性会碰到嵌套(循环中间包含循环),如果在循环内部,有些条件下,明确可以知道当前循环(或者外部循环)不需要继续执行了,那么就是可以使用循环控制来实现。
2023-04-26 18:56:25
155
原创 PHP学习笔记(1)
预定义变量:提前定义的变量,系统定义的变量,存储许多用到的数据(预定义变量都是数组)$_GET:获取所有表单以get方式提交的数据$_POST: POST提交的数据都会保存在此$_REQUEST: GET和POST提交的都会保存$GLOBALS: PHP中所有的全局变量$_SERVER: 服务器信息$_SESSION: session会话数据$_COOKIE: cookie回话数据$_ENV: 环境信息$_FILES: 用户上传的文件信息。
2023-04-26 18:49:37
109
原创 [web安全-文件包含漏洞解析] 第一次有人把文件包含漏洞讲的通俗易懂及DVWA文件上传靶场的解题过程
了解文件包含是什么文件包含漏洞(File Inclusion)是一种最常见的依赖于脚本运行而影响 Web 应用程序的漏洞。当应用程序使用攻击者控制的变量建立一个可执行代码的路径,允许攻击者控制在运行时执行哪个文件时,就会导致文件包含漏洞。程序开发人员通常会把可重复使用的函数写入单个文件中,在使用这些函数时,程序开发人员直接调用此文件,而无需再次编写函数,这种调用文件的过程一般被称为文件包含。此外,程序开发人员都希望代码更加灵活,所以通常会将被包含的文件设置为变量,用来进行动态调用。但正是由于这种灵活性,
2023-04-21 00:52:44
776
原创 [web安全-文件上传漏洞解析,及常见绕过方式]简单易懂超友好
有时候服务器会对上传上去的图片进行二次渲染,生成一张新的图片,从而过滤掉webshell脚本,这时只需要将渲染后的图片与渲染前的图片进行对比,查看二者相同的地方,也就是渲染未改动的地方,在此处插入webshell脚本即可,网上推荐用gif图片。如果程序里面存在这种漏洞,那么恶意攻击者可以直接向你的服务器上传一个 webshell( 又称 ASP 木马、PHP 木马、JAVA木马等即利用服务器端的文件操作语句写成的动态网页,可以用来编辑你服务器上的文件 ),从而控制你的网站。
2023-04-20 09:37:59
2764
1
原创 xss挑战1-16关
经实验,它会把script,on,href直接过滤掉,这里因为它过滤掉了,我们就可以考虑它会过滤一次还是几次或是直到没有为止,这里就可以用双写href来绕过,(记住,双写或多写的触发条件是对面过滤了敏感字符,而不是动不动用双写绕过,你的绕过思路要取决于对面的防御措施,而不是什么都不管,就全部用上!因为没有输入口,只能从URL入手,参数keyword对输入的"><做了过滤,显然不能利用了。尝试发现他对是否有http://进行判断,如果不存在http://则判断非法,所有在后面加一个http即可。
2023-04-09 10:52:47
325
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人