PHP交流
PHP交流
行云tack
个人博客,与网络安全相关:https://www.xy586.top
希望大佬们赏个脸
展开
-
PHP反序列化漏洞原理及示例
本站转自行云博客https://www.xy586.top/文章目录PHP反序列化序列化与反序列化PHP魔法函数反序列化漏洞简介原理触发条件示例PHP反序列化序列化与反序列化序列化说通俗点就是把一个对象变成可以传输的字符串。序列化过程中还会对不同属性的变量进行不同方式的变化public的属性在序列化时,直接显示属性名protected的属性在序列化时,会在属性名前增加0x00*0x00,其长度会增加3private的属性在序列化时,会在属性名前增加0x00classname0x00.原创 2020-08-26 19:53:03 · 7631 阅读 · 9 评论 -
文件上传的原理及条件
文件上传漏洞的原理通过伪装成正常文件上传,并获得合法的格式通过后实现后端server的执行前端:js后端:动态语解析[php、.net、asp、JSP]攻击者可以上传一个网站的脚本语言相对的恶意代码[apache、nginx、tomcat等等它的漏洞]文件上传需要满足的条件server端是否开后正常的上传功能已知上传文件的路径[在服务端伪装文件存放的路径1如何使得server端无法发现[伪装的过程],上传文件可以被server端接收上传文件被执行...原创 2020-07-27 19:34:55 · 1605 阅读 · 37 评论 -
PHP学习笔记——正则表达式
1、正则表达式中包含三种元素分别为:量词、元字符、修饰符2、前导字符串:就是符号前面的一个字符或字符串量词 说明 匹配任何至少包含一个前导字符串 匹配任何包含零个或多个前导字符串? 匹配任何包含零个或1个前导字符串. 匹配任意一个字符串{x} 匹配任何包含x个前导字符串{x,y} 匹配任何包含 x 到 y 个前导字符串{x,} 匹配任何包含至少x个前导字符串^ 匹配字符串的行首$ 匹配字符串的行尾| 选择符 匹配字符串的左边或者右边() 分组,提取原创 2020-07-10 10:21:22 · 1294 阅读 · 48 评论 -
PHP学习笔记——用户登录使用cookie
前端页面index.php<!doctype html><html lang="en"> <head> <meta charset="UTF-8"> <title>登陆</title> </head> <body> <div align="center"> <form name="login" actio原创 2020-07-09 16:16:31 · 1009 阅读 · 49 评论 -
PHP学习笔记——文件上传
文章目录创建一个文件上传表单创建上传脚本上传限制保存被上传的文件MIME 类型按照内容类型排列的 Mime 类型列表按照文件扩展名排列的 Mime 类型列表创建一个文件上传表单<html><head><meta charset="utf-8"><title>菜鸟教程(runoob.com)</title></head><body><form action="upload_file.php" metho原创 2020-07-09 16:14:28 · 1251 阅读 · 18 评论 -
PHP安全配置范例
文章目录php安全配置范例Configurationbcmathcgi-fcgiCorectypecurldatedomeregfilterftpgdgettexthashiconvjsonlibxmlmbstringmcryptmhashmysqlmysqlimysqlndopensslpcntlpcrePDOpdo_mysqlpdo_sqlitePharposixReflectionsessionshmopSimpleXMLsoapsocketsSPLsqlite3standardtokenizerxm原创 2020-07-09 15:30:25 · 1327 阅读 · 49 评论 -
PHP安全函数过滤实例
文章目录htmlentities() 函数htmlspecialchars() 函数str_ireplace() 函数str_replace() 函数strip_tags() 函数htmlentities() 函数把字符转换为 HTML 实体<?php $a = $_GET[fname]; $a1 = htmlentities($a); echo '<form action="form.php" method="get" align="center"><h3&原创 2020-07-09 15:28:13 · 869 阅读 · 21 评论 -
PHP学习笔记——MySQL的多种连接方法
文章目录连接 MySQLMySQLi - 面向对象PDOMySQL 创建数据库MySQLi - 面向对象PDOMySQL创建数据表MySQLi - 面向对象PDOMySQL 插入数据MySQLi - 面向对象PDOMySQL 插入多条数据MySQLi - 面向对象PDOMySQL 预处理语句MySQLi - 面向对象PDOMySQL 读取数据MySQLi - 面向对象PDOMySQL Where 子句MySQL Order By 关键词MySQL UpdateMySQL DeletePHP 数据库 ODBC原创 2020-07-09 15:25:07 · 1350 阅读 · 23 评论 -
PHP学习笔记——文件处理
文章目录打开文件关闭文件检测文件末尾(EOF)逐行读取文件逐字符读取文件汇总打开文件fopen() 函数用于在 PHP 中打开文件。此函数的第一个参数含有要打开的文件的名称,第二个参数规定了使用哪种模式来打开文件:<html><body><?php$file=fopen("welcome.txt","r") or exit("Unable to open file!");?></body></html>模式描述原创 2020-07-09 15:23:13 · 520 阅读 · 0 评论 -
PHP中cookie与session详解
文章目录1.cookieCookie 是什么?如何创建 Cookie?语法实例 1实例 2如何取回 Cookie 的值?如何删除 Cookie?2.session开始 PHP Session存储 Session 变量销毁 Session1.cookieCookie 是什么?cookie 常用于识别用户。cookie 是一种服务器留在用户计算机上的小文件。每当同一台计算机通过浏览器请求页面时,这台计算机将会发送 cookie。通过 PHP,您能够创建并取回 cookie 的值。如何创建 Cookie原创 2020-07-09 15:12:15 · 1510 阅读 · 32 评论 -
PHP学习笔记(一)——行云博客
文章目录1st2nd3rd4th5th6th7th8th9th10th11th12th13th14th15th16th1stphp代码内可以包含html内容,或者说php脚本文件内php解释器仅仅解释PHP<!DOCTYPE HTML><HTML><BODY><?php echo "我的第一段php脚本";?></BODY></HTML>2nd<HTML><BODY><h1&g原创 2020-07-09 14:52:37 · 471 阅读 · 19 评论 -
PHP简易用户登录系统
PHP简易用户登录系统最近刚刚看到PHP连接数据库的实例,于是做了一个简易的用户系统直接上代码连接数据库:connect.php<?php$servername = "localhost";$username = "formbd";$password = "formbd";$dbname = "form"; // 创建连接$conn = new mysqli($servername, $username, $password, $dbname); // 检测连接if ($c原创 2020-07-08 13:08:41 · 5312 阅读 · 30 评论 -
浅谈xss——跨站脚本攻击(三)
接上文:浅谈xss——跨站脚本攻击(一)浅谈xss——跨站脚本攻击(二)DOM型xss新建一个Dom.php文件,插入以下代码<?php error_reporting(0); //禁用错误报告 $name = $_GET["name"]; ?> <input id="text" type="text" value="<?php echo $name;?>" /> <div id="print"></div&原创 2020-07-08 13:04:03 · 340 阅读 · 2 评论 -
浅谈xss——跨站脚本攻击(二)
接着上文讲:浅谈xss——跨站脚本攻击(一)这次谈谈存储型XSS和反射性XSS的即时响应相比,存储型XSS则需要先把利用代码保存在比如数据库或文件中,当web程序读取利用代码时再输出在页面上执行利用代码。但存储型XSS不用考虑绕过浏览器的过滤问题,屏蔽性也要好很多。存储型XSS攻击流程:存储型XSS的白盒审计同样要寻找未过滤的输入点和未过滤的输出函数。新建XssStorage.php文件,并加入以下代码<span style="font-size:18px;"><me原创 2020-07-08 13:00:57 · 436 阅读 · 24 评论 -
浅谈xss——跨站脚本攻击(一)
什么是xssXSS全称:跨站脚本(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets)的缩写CSS混合,所以改名为XSS;攻击者会向web页面(input表单、URL、留言版等位置)插入恶意JavaScript代码,导致管理员/用户访问时触发,从而达到攻击者的目的。xss跨站脚本漏洞非持久型xss攻击:顾名思义,非持久型xss攻击是一次性的,仅对当次的页面访问产生影响。非持久型xss攻击要求用户访问一个被攻击者篡改后的链接,用户访问该链接时,.原创 2020-07-08 12:56:33 · 637 阅读 · 19 评论