渗透基础PHP(零散知识点)

最新推荐文章于 2024-06-25 14:46:02 发布
最新推荐文章于 2024-06-25 14:46:02 发布
阅读量4k 收藏 1
点赞数 1
分类专栏: 计算机基础 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52331099/article/details/123830747
版权

查询语句:从admin表中查询

select字段 from表名 where条件

and  => 要求 and 等式两边都成立 才 成立
or = >   要求 or 等式两边有一边 成立 才成立

SQL注入核心: 用户输入的数据被当做代码进行

万能密码 :' or 1 = 1

-- (这是注释的意思)

#(警号注释只有mysql数据库专用)

最好的操作: -- qwe

and 优先级 比 or 高

现在主流防护: 使用正则表达式 来 过滤 用户传输的数据 【这就是为什么注册密码只能规定字母和下划线的由来,防止php数据库注入】

开发判断:

1.判断数据库能查到数据     2.判断你输入的用户名与数据库查到的用户名相同

3.你输入的用户名和密码 和 数据库查到的用户名和密码码 相同

正则 是 一个语法(编程语言都有,比如说cpp)

php的正则函数

preg_match_all(' ' ,' ')  -- d第一个是规则;第二个是内容(就是字符串)

<?php

echo preg_match_all('\o','abooosft')

?>

die()  代码执行到这里终止了

<?php
echo 1;
die();
echo 2333;
?>

//如果是这样
<?php
echo 12
die(' 吃席')
echo 55

?>

检测一定要放在执行之前,不然一定会出问题

正则的核心:

检测所有的数据 ,不用正则 的话

1 or 2 or 3 or 4

\d  --可以代替1 2 3 这种数字的数据显示检测

\D --可以代替所以的非数字

\W -- 非单词字符

GET 传参不能给#

GET传参是有url编码的  比如 %27 就是等于 ' '  的意思(这个可以上Baidu查询),url用来区分是数据 还是url编码

? 代表传输数据

 

 

 

糖FZ+L耗
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
phpinfo.php渗透
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
01-19 998
如何获取phpinfo页面phpinfo.php渗透 1.1 目录扫描phpinfo.php渗透 1|2phpinfo.php渗透:gookle hacking
php网站渗透实战_PHP网站安全-漏洞渗透及解决方式—概述
weixin_39992417的博客
12-19 2390
针对PHP的网站主要存在下面几种攻击方式:1、命令注入(Command Injection)2、eval注入(Eval Injection)3、客户端脚本攻击(Script Insertion)4、跨网站脚本攻击(Cross Site Scripting, XSS)5、SQL注入攻击(SQL injection)6、跨网站请求伪造攻击(Cross Site Request Forgeries, C...
PHP验证mysql登录用户名密码
qiancbingbin的专栏
01-12 1566
表user 字段user_name 字段user_pass <?php function Useragreed($username,$password) { $sql="SELECT * from `user` WHERE user_name='$username' AND user_pass='$password'"; $result=mysql_que
Web渗透php反序列化漏洞
最新发布
WolvenSec的博客
06-25 969
反序列化漏洞(Deserialization Vulnerability)是一种在应用程序处理数据的过程,因不安全的反序列化操作引发的安全漏洞;反序列化是指将序列化的数据(通常是字节流或字符串)转换回对象的过程,如果反序列化操作未进行适当的验证或消毒,攻击者可以通过精心构造的恶意数据进行攻击,执行任意代码、获取敏感信息、或破坏数据的完整性。本文我们就来探讨一下反序列化漏洞产生的原因和漏洞利用方法。
详述php渗透全过程(组图)
黑客攻防 | .net 源代码下载 | ASP.NET开发 | ORACLE数据库开发 | JAVASCRIPT脚本下载 | java源码下载
03-05 887
导读:   最近一直比较关注PHP注射的东西.学习好几天了.也应该实战一下了.目标http://app.xxxx.com .一个市场调查的门户.找注射点嘛,还是要用我们可爱的搜索引擎.为什么可爱呢?一会就知道了.Go Go Go !!!!!   在google搜索php?id= site:xxx.com.意思就是说搜索XXX网站php?id=的URL.嘿.还真让我找到一个. http://app.xxx.com/cati/article_literature.php?id=11 .打开吓我一条
Web渗透PHP 与MySQL 交互
qianfeng_dashuju的博客
09-17 138
LAMP 是常见的组合。 BBS 的设计。 0x01 PHP 与MySQL进行交互 建立与MySQL链接 执行SQL 语句 操作结果集对象 关闭与MySQL 链接 0x02 与MySQL 建立链接 直接使用PHP 提供的函数。 连接指定的mysql服务器 mysqli_connect() $link=@mysqli_connect($host, $user, $password,$database,$port); //$host 服务器的地址,一般为127.0.0.1
PHP基础学习【针对渗透
m0_55854679的博客
12-11 1298
PHP基础教程 PHP属于后端语言,后端的核心在于与数据库交互。 常见的后端语言:ASP、ASPX、PHP、JSP 什么是PHPPHP(超文本预处理器)是一种通用开源脚本语言,是动态语言的一种,动态语言还包括ASP、ASPX、JSP。 PHP语法吸收了C、java、Perl的特点,主要用于web开发领域。 PHP可以将程序嵌入到前端代码(HTML、CSS、JS)执行。 PHP支持几乎所有流行的数据库以及操作系统。 基本语法 PHP头部标记风格 <?php ?> <script
零散知识点总结.rar
12-13
零散知识点总结】 在IT领域,Linux是一个广泛使用的开源操作系统,...以上就是Linux的一些核心知识点,掌握这些基础可以让你更好地在Linux环境工作和开发。不断学习和实践,才能深入理解和运用Linux,提升IT技能。
Linux之变量的零散知识点.docx
08-17
在本文,我们将深入探讨一些关于Linux变量的零散知识点,这些知识点可能会在日常运维工作起到重要作用。 首先,我们要理解变量的范围。在编程语言,变量通常有其特定的作用域,即它们在代码的哪些部分可以被...
软件设计师(零散知识)-计算机基础知识
09-04
软件设计师(零散知识)-计算机基础知识
心理学基础知识点总结.doc
12-08
### 心理学基础知识点总结 #### 一、现代心理学的研究与发展 1. **心理学的含义**:心理学是一门研究人的行为与心理活动规律的科学。 2. **人的心理活动**: - 个体心理:指个体自身的心理状态和过程。 - 社会...
渗透入侵\海洋顶端PHP注射工具.zip
07-15
海洋顶端PHP注射工具
Qt日常积累的编程零散知识
04-18
在Qt编程过程,积累的零散知识对于提升开发效率和代码质量至关重要。以下是一些关键知识点的详细说明: 1. **数据库字符类型**: - `char`:定长字符串,索引效率高,但可能会浪费空间,适合存储固定长度的数据...
4.1.9. 其它
bylfsj的博客
10-31 451
4.1.9. 其它¶ 4.1.9.1. 低精度¶ php并不是用高精度来存储浮点数,而是用使用 IEEE 754 双精度格式,造成在涉及到浮点数比较的时候可能会出现预期之外的错误。 比如 php -r "var_dump(0.2+0.7==0.9);" 这行代码的输出是 bool(false) 而不是 bool(true)。这在一些情况下可能出现问题。 4.1.9.2. 弱类型¶ 如果使...
web渗透——PHP一句话插入
dongxie_tk的博客
10-20 5084
一句话:     //as是形式参数 位置: 1、模块——模块管理——文件管理器 2、模板——模板管理——标签源码管理 3、、、 进入,选择.PHP文件,插入一句话 使用: 1、在网页上,、、、/dede/ad_add.php?as=system('dir');    //可以显示该目录下的文件、文件大小以及字节数
php+mysql快速渗透
weixin_30908941的博客
05-02 174
1)如何快速寻找站点注入漏洞?2)PHP+MYSQL数据库下快速寻找WEB站点路径? 3)MYSQL LOAD FILE()下读取文件?3)MYSQL INTO OUTFILE下写入PHPSHELL? 简单介绍Mysql注入用到的一些函数的作用,利用它们可以判断当前用户权限(Root为最高,相当于MSSQL的SA)、数据库版本、数据库路径、读取敏感文件、网站目录路径等等。1:...
渗透————PHP+MYSQL数据库(上)
longger_lee
11-12 1012
SQL简单命令:         mysql -u username -ppassword -h ip   //进入MYSQL数据库         show database;  //查看数据库有哪些文件         select version();  //查看数据库版本         use admin;     //选择admin数据库         show table
PHP安全技术之——实现基本安全
weixin_30432007的博客
09-02 56
1.不要依赖注册全局变量功能(register_globals) 注册全局变量的出现曾经让PHP变得非常易用,但也降低了安全性(方便之处经常会破坏安全性)。建议在编程时把register_globals指令关闭,在PHP6这个功能也会被取消。 2.在使用变量之前对其进行初始化。 如果register_globals功能是启动的,即使程序员不使用它,恶意用户也可能利用为初始化变量的漏洞来侵入...
渗透测试学习1:PHP
weixin_44315099的博客
02-25 661
目录一.基础部分变量输出字符串函数:常量运算符条件语句,循环语句函数数组数组排序魔术常量超全局二.表单部分表单处理表单验证表单验证 - 必填字段表单验证 - 验证 E-mail 和 URL三.高级部分多维数组日期和时间Include 文件文件处理文件打开/读取/关闭文件创建/写入文件上传cookieSessions发送电子邮件安全的电子邮件错误处理异常处理过滤器四.数据库部分连接数据库创建数据库和表插入数据从数据库选取数据选取匹配指定条件的数据数据排序修改数据删除行 一.基础部分 变量 变量规则:变量以$开
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值