小迪安全 第16天:php开发-个人博客项目&JS-Ajax&前端逻辑&购物&登录&上传

最新推荐文章于 2024-07-24 16:20:17 发布
最新推荐文章于 2024-07-24 16:20:17 发布
阅读量703 收藏 17
点赞数 34
文章标签: javascript 前端 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_65106718/article/details/137610968
版权

知识点

1.js前端验证-文件上传

2.js-Ajax传递-登录-状态

3.JS-Ajax传递-购物-参数

1.文件上传-类型-过滤

设计:通过javascript进行文件后缀筛选验证

2.状态回显-登录-状态码

设计:通过Ajax传递数据进行用户登录验证

3.参数修改-购物-参数修改

设计:通过Ajax传递数据进行购物验证

设计1:商品价格以前端设置价格为准。数据接收价格后运算

设计2:商品价格以数据库设置价格为准。数据接收价格后运算

设计3:商品价格以数据库设置价格为准。数据只接受数量后运算

设计4:商品价格以数据库设置价格为准。数据只接受数量后做过滤运算

JS前端认证 

一、upload.php

1.html代码

<form class="upload" method="post" enctype="multipart/form-data"  action="">
    <input class="uploadfile" type="file"  name="upload" onchange="checkFileExt(this.value)"/><br />
    <input class="sub" type="submit" name="submit" value="开始上传" />
</form>

2.引入js:这个js文件相当于封装的代码,加载进去类似于包含的意思,里面的代码就会被加载,我们就可以直接用这个js声明好的函数。

<script src="js/jquery-1.12.4.min.js"></script>

3.js代码验证

<script>
    function checkFileExt(filename)
    {
        var flag = false; //状态
        var arr = ["jpg","png","gif"];
        //取出上传文件的扩展名
        //1.jpg index=1,ext=jpg
        var index = filename.lastIndexOf(".");
        var ext = filename.substr(index+1);
        //比较
        for(var i=0;i<arr.length;i++)
        {
            if(ext == arr[i])
            {
                flag = true; //一旦找到合适的,立即退出循环
                alert("上传的文件符合要求!");
                break;
            }
        }
        //条件判断
        if(!flag)
        {
            alert("上传的文件不符合要求,请重新选择!");
            location.reload(true);
        }
    }
</script>
  •  对文件上传的后缀名进行验证,符合要求的才能上传
  • 这个功能的实现可以由PHP或JS去实现
  • 两种验证的区别:PHP验证的代码看不到 只能黑盒测试      后端  服务端                                                                         JS验证的代码可以看到,是白盒测试  前端  浏览器

4.php代码(file-upload,php)

<?php
header("Content-Type:text/html;charset=utf-8");
@$file_name=$_FILES['upload']['name'];
//获取上传文件类型
@$file_type=$_FILES['upload']['type'];
//获取上传文件大小
@$file_size=$_FILES['upload']['size'];
//获取上传文件临时文件名
@$file_tmpname=$_FILES['upload']['tmp_name'];
//获取上传文件是否错误
@$file_error=$_FILES['upload']['error'];
​
echo $file_name."<hr>";
echo $file_type."<hr>";
echo $file_size."<hr>";
echo $file_tmpname."<hr>";
echo $file_error."<hr>";
​
if (@$file_error>0){
    echo '上传出错!';
}
else{
    move_uploaded_file(@$_FILES["upload"]["tmp_name"], "../upload/" . @$_FILES["upload"]["name"]);
    echo "文件存储在: " . "upload/" . @$_FILES["upload"]["name"];
}
?>

如何判断代码采用js验证:直接右键查看源代码 

二、禁用JS

1.火狐浏览器 

 ①javascript.enabled的值改为false

② 上传成功

 

Ajax

一种js语言,传递数据的一种方式,实现数据交互

1.login.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Ajax登录</title>
</head>
<body>
帐号:<input type="text" class="user">
密码:<input type="password" class="pass">
<button>用户登录</button>
​
<script src="../js/jquery-1.12.4.min.js"></script>
<script>
    $('button').click(function () {
        $.ajax({
            type:'post',
            url:'ajax.php',             //发给ajax.php文件。
            dataType:'json',
            data:{
                myUname:$('.user').val(),
                myUpass:$('.pass').val()
            },
            success:function (res) {
                //console.log(res);
                if(res.infoCode==1){
                    alert('登录成功');
                }else{
                    alert('登录失败');
​
                }
            }
        });
​
    });
​
</script>
​
</body>
</html>

2.ajax.php

<?php


$username=$_POST['myUname'];
$password=$_POST['myUpass'];
$success=array('msg'=>'ok');
if($username=='xiaodi' && $password=='123456'){
    $success['infoCode'] = 1; //成功登录
}else{
    $success['infoCode'] = 0; //失败登录
}
echo json_encode($success);

 登录错误:

3.抓包(看右边的返回值)

js,ajax  请求->返回->js读取返回的数据->js,ajax代码进行解析->结果

——验证过程要是在js代码中完成,则可以绕过,具体情况具体对待

php 请求->返回->返回结果(服务器不会理会,自我安慰而已)

 

 将“infocode”的值改为1发送就会提示登陆成功

 4.ajax有时会用包含文件,将代码封装(点开引用的链接)

 购物-设计

1.设计1:商品价格以前端设置价格为准。数据接收价格后运算

user.php——前端页面

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>购买设计1</title>
</head>
<body>
 
 
<img src="iphone.jpg" width="270" height="270" alt=""/><br>
价格:8888<br>
数量:<input type="text" class="num">
<button>购买</button>
 
<script src="js/jquery-1.12.4.min.js"></script>
<script>
    $('button').click(function () {
        $.ajax({
            type:'post',
            url:'shop.php',
            dataType:'json',
            data:{
                price:'8888',
                number:$('.num').val()
 
            },
			success:function (res) {
                //console.log(res);
                if(res.code==1){
                    alert('购买成功');
                }else{
                    alert('购买失败');
 
                }
            }
        });
 
    });
</script>
</body>
</html>

shop.php——进行验证

<?php
header("Content-Type:text/html;charset=utf-8");
$success=array('msg'=>'ok');
$price=$_POST['price'];
$num=$_POST['number'];
$m=$price*$num;
 
if($m<10000){
    $success['code']=1;
}else{
    $success['code']=0;
}
echo json_encode($success);
?>

 第一种绕过方法:同上,Do intersept,更改code为1

 第二种绕过方法:更改price=8

设计2:商品价格以数据库设置价格为准。数据接收价格后运算 

 1.user1.php

记得更改数据库配置文件

<?php
header("Content-Type:text/html;charset=utf-8");
include('/config/conn1.php');
//


$sql="select * from shop where id=1";

$result=mysql_query($sql,$conn);
while($row=mysql_fetch_array($result)){
    $imgsrc=$row['imgsrc'];
    $price=$row['price'];
    echo "<img src='$imgsrc' width='270' height='270' alt=''/><br>";
    echo "价格:$price<br>";
    echo "数量:<input type='text' class='num'>";
    echo "<button>购买</button>";

}



?>


<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>购买设计2</title>
</head>
<body>

<script src="js/jquery-1.12.4.min.js"></script>
<script>
    $('button').click(function () {
        $.ajax({
            type:'post',
            url:'shop1.php',
            dataType:'json',
            data:{
                price:<?php echo $price;?>,
                number:$('.num').val()

            },
            success:function (res) {
                //console.log(res);
                if(res.code==1){
                    alert('购买成功');
                }else{
                    alert('购买失败');

                }
            }
        });

    });
</script>
</body>
</html>

2.shop1.php

<?php
header("Content-Type:text/html;charset=utf-8");
$success=array('msg'=>'ok');
$price=$_POST['price'];
$num=$_POST['number'];
$m=$price*$num;

if($m<10000){
    $success['code']=1;
}else{
    $success['code']=0;
}

echo json_encode($success);



?>

 此时burp抓包直接更改数量会改变实际价格(做了表面功夫,看起来规范一点而已)

那么该如何防范呢?

①价格写死

但此时还是有问题,可以用burp抓包更改数量

 ②对数量进行过滤运算

福利期货应用:

{"code":200,"data":"111111111","msg":'"} 验证码正确返回,接受进入重置密码页面

{"code":200,"data":"111111111","短信验证不正确":'"} 验证码错误返回,等待输入正确页面

小技巧:返回值中有json,code,msgbox等关键字,大部分为js前端验证

Gin311
关注
  • 34
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
cop4331-group16:第16组的LAMP堆栈小型项目的回购
02-14
标题 "cop4331-group16:第16组的LAMP堆栈小型项目的回购" 暗示这是一个关于LAMP(Linux、Apache、MySQL、PHP)堆栈的编程项目,由第16组的学生完成,可能是为课程cop4331所做。这个项目可能是一个基于Web的应用程序...
PHP面试-中国最佳实践::orange_book:PHP面试知识点汇总
02-05
17. **PHP前端技术结合**:如AjaxJavaScript、jQuery、Vue.js等,理解它们如何与PHP配合构建动态Web应用。 18. **服务器配置**:基本的Apache或Nginx配置,以及PHP-FPM的使用。 19. **版本控制**:Git的使用,...
AJAX基础 项目实战
gegejiawei的博客
06-18 1558
项目一:二级联动菜单实现 jQuery对ajax的支持 1、jQuery对ajax进行封装,提供了$.ajax(); 2、语法:$.ajax(options); – 传入json对象 常用设置项及说明 1、url 发送请求地址 2、type 请求类型get | post 3、data 向服务器传递的参数 4、dataType 服务器响应的数据类型 text | json | xml | HTML | jsonp | scri
小迪安全16 PHP 开发-个人博客项目&JS-Ajax&前端逻辑&购物&登录&上传
san3144393495的博客
05-17 753
1.js前端验证-文件上传2.as-ajax传递-登录-状态3.js-ajax传递-购物-参数。
第十六 PHP开发-个人博客项目&JS-Ajax&前端逻辑&购物&登录&上传
signored的博客
05-22 392
过程:请求服务器->返回->读取返回的数据->js ajax代码进行解析->结果。2.js验证代码可以看到,白盒测试,可以用浏览器禁用JS完成上传。状态回显--登录--状态码 通过ajax传递数据进行用户登录验证。过程:请求->返回->返回结果(改状态结果服务器不会理你)文件上传--类型--过滤 使用js进行文件后缀筛选验证。实战中有些js文件会被包含,要仔细观察js文件,点开看。一般有json、code、msgbox状态。ajax:用javascript实现交互。1.php验证代码看不到,黑盒测试。
[BT]小迪安全2023学习笔记(第16PHP开发-Js/Ajax
Bluetuan的博客
01-25 888
(Asynchronous JavaScript and XML)是一种在客户端实现与服务器异步通信的技术。它允许网页在不重新加载整个页面的情况下,与服务器交换数据并更新部分网页内容。AJAX 的使用可以大大提升用户体验和网页性能。动态内容加载:通过 AJAX,可以动态地从服务器加载新内容并展示在页面上,无需重新加载整个页面。表单提交:使用 AJAX 提交表单数据,并根据服务器响应在页面上显示结果,例如注册表单、评论发布等。实时更新:在网页上显示实时数据,如股票信息、新闻更新、社交媒体动态等。
PHP实例开发源码-高仿花瓣网源码 php版.zip
11-23
Bootstrap、Vue.js或jQuery等库可能会被用来加速开发。此外,AJAX技术用于实现无刷新的动态加载和交互,提升用户体验。 四、用户认证与授权 源码中应包含用户注册、登录、权限验证等功能。PHP的session和cookie机制...
前端开发与小程序面试题目.pdf
03-09
前端开发与小程序面试题目解析】 一、前端面试知识点 1. 响应式布局:是一种根据设备屏幕尺寸和方向动态调整网页布局的设计方法。它通过CSS媒体查询、百分比单位和流式布局等技术,确保网站在不同设备上都能提供...
学会PHP
12-14
第十PHP框架与项目实践 - PHP框架介绍:讲解常见的PHP框架,如Laravel、CodeIgniter、Yii等,以及它们的优势和应用场景。 - 网站建设:通过一个简单的博客系统实例,将所学知识应用于实际项目中,体验完整的PHP...
Next.js静态导出与动态路由优化
天涯学馆
07-20 1053
Next.js 是一个流行的 React 框架,它简化了构建服务端渲染(SSR)和静态站点生成(SSG)的应用。静态导出是Next.js的一项强大特性,它允许你将整个应用程序导出为静态文件,从而在无服务器环境下运行,提高加载速度和降低服务器成本。动态路由则允许你根据数据生成页面,即使在静态导出的情况下也能保持灵活性。
Vue 3 和 SpringBoot 实现文件分片上传示例
exlink2012的专栏
07-22 416
实现分片上传,并使用Spring Boot在后端保存文件。前端将文件分片并逐个上传到后端,后端接收到所有分片后再进行合并,最终保存为一个完整文件。
【React 】开发环境搭建详细指南
lph159的博客
07-24 857
无论你是刚刚开始学习 React,还是希望在现有项目中采用 React 技术,搭建一个高效的开发环境都是至关重要的。本文将详细介绍如何从零开始搭建 React 开发环境,涵盖所需的工具和最佳实践,帮助你快速启动并顺利进行开发。Visual Studio Code(VS Code)是目前最流行的代码编辑器之一,提供了丰富的扩展和强大的功能。如果你希望对项目的配置有更多的控制,可以选择手动配置 React 项目。下载并安装最新版本的 Node.js,安装 Node.js 后,npm 会自动安装。
谷粒商城实战笔记-39-前端基础-Vue-指令-v-on、v-for、v-if
epitomizelu的专栏
07-20 1004
v-on 是 Vue.js 中的一个指令,用于在 DOM 元素上监听用户事件,并在事件触发时执行相应的 JavaScript 函数。它提供了一种将 Vue 实例中的方法与 DOM 事件关联起来的方式,使得你可以轻松地对用户交互做出响应。v-on 指令的基本语法是在元素上添加 v-on:event-name=“method”,其中 event-name 是你要监听的 DOM 事件类型(如 click、mouseover、keydown 等),method 则是 Vue 实例中定义的方法名。
VUE中的重点*
qq_61132537的博客
07-22 908
实际上就是一个闭包,因为vue是单页面应用,是由很多组件构成,每一个组件中都有一个data, 所以通过闭包给每一个组件创建了一个私有的作用域,这样就不会相互影响。
Vue3企业级项目开发实战课-笔记记录
tuku0801的专栏
07-20 988
实践 Vue 3 自研组件库开发、Node.js 服务端开发、Vue 3 结合 Node.js 的全栈项目开发以及全栈项目的单元测试等大厂常见的项目技术场景
vue如何解决跨域?
FENGZXCjjjjj的博客
07-21 511
在Vue.js项目中,当你的前端应用尝试从与自身不同源的服务器(协议、域名、端口中的任一不同)加载资源时,可能会遇到跨域(CORS, Cross-Origin Resource Sharing)问题。
thinkphp8结合layui2.9 图片上传验证
quweiie的专栏
07-21 321
thinkphp8图片上传的验证
Angular由一个bug说起之八:实践中遇到的一个数据颗粒度的问题
最新发布
KenkoTech的博客
07-24 353
之所以使用这种比较直接的方式是因为项目中的数据类型已经确定,而且对数字的处理逻辑没有统一在一个文件中。这是大型项目经常遇到的问题,起到相同作用的代码因为一些小的差别而分别写在管理各自功能的文件里。文件存入数据库,这样我们就可以统一维护一个表,不管是前端来处理数据还是后端来处理都能遵守相同的规则。针对这篇文章提到的数字缩写的问题,可以有两种处理方案。来展示数据的功能,这些数据根据不同的类型和单位会为其加上前缀、后缀或者省略小数。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值