PHP特性(安全相关)

最新推荐文章于 2023-07-21 13:11:58 发布
最新推荐文章于 2023-07-21 13:11:58 发布
阅读量2.9k 收藏 1
点赞数
分类专栏: PHP 网络安全 linux 文章标签: php 安全 apache windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rulerrr_r/article/details/123099833
版权
网络安全 同时被 3 个专栏收录
3 篇文章 0 订阅
订阅专栏
linux
3 篇文章 1 订阅
订阅专栏
PHP
2 篇文章 0 订阅
订阅专栏

这部分内容可能比较杂,会更新着记录

多后缀:
apache对于文件后缀的解析顺序是从后往前,直到碰到一个它可以解析的合法字符段为止。
apache认为文件的后缀名可以有多个,其解析后碰到相应的类型,并调用对应的执行模块。
在module模式下碰到.php.xxx时,虽然apache可以将其解析为php文件,但是php执行部分不认识,但他不报错,而是返回文件本身。
在fastCGI模式下,PHP执行模块会报错,此时返回500。
冒号截断:
在windows中
NTFS流冒号截断
利用冒号":"截断文件名,可以生成空文件。

如上传"test.asp:1.jpg"文件,会生成一个名为"test.asp"的空文件,原理是利用Windows的NTFS可替代数据流的特性。另外,

":"截断操作
是优先级高于会报错的字符(0x00除外)的,会先截断,只要报错字符在":“后面,系统是不会报错的。
如果”:“是文件名的最后一个字符,则不会截断,会报错
一个文件名中如果包含1个以上的”:"号,也是会报错

PHP 和 Windows系统的共同作用特性
以下几个符号在php和Windows环境的共同作用下,有等价的效果(iis apache都有):

双引号">" 点号"."
大于符号">" 问号"?"
小于符号"<" 星号"*"

所以先上传一个名为 test.php:.jpg 的文件,实际会在Windows系统上产生一个test.php的空文件;

然后再次上传一个名为 test.<<< 文件,就可以追加shell内容到test.php文件中。

php7的move_uploaded_file($temp_file, $img_path)函数检测img_path(目标上传路径)的合法性,如果最后带有.的话会返回false

php数组是可以在GET或POST传参时生成的。$GET_[‘file’] ,?file[0]=faeafe&file[3]=ergte是可以的。
这和手动创建数组一样,只有0,3有数据
count时值为2
但是reset索引为0,end索引为3

暇月
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP 线程安全与非线程安全版本的区别深入解析
12-19
从2000年10月20日发布的第一个Windows版的PHP3.0.17开始的都是线程安全的版本,这是由于与Linux/Unix系统是采用多进程的工作方式不同的是Windows系统是采用多线程的工作方式。如果在IIS下以CGI方式运行PHP会非常慢,...
将Oracle内置的安全特性用于PHP
03-04
本文介绍了如何利用Oracle内置的安全特性在数据库级执行应用程序安全规则,以提高应用程序的整体安全性。作为附带的好处,直接在数据库中实现数据访问安全不但有助于提高应用程的安全性,而且有助于降低复杂性。
php特性
weixin_48427966的博客
04-27 499
php特性总结
PHP概述及特点
icarusooxx的博客
06-19 626
PHPPHP: Hypertext Preprocessor)是一种开源的、通用的脚本编程语言,可在 Web 开发中获取普遍应用。与其他被用来编写服务器端脚本的语言(如Perl 或 Python)不同,PHP 是被专为 Web 编程而设计的。PHP 在 HTML 文件中嵌套使用,可以完美地完成动态网页的生成、CGI 编程和命令行界面等工作。
php有哪些特性及优势
最新发布
鑫和皓的博客
07-21 141
它的社区支持、内置的网络开发功能、跨平台支持、数据库支持、高效的性能、面向对象的特性和丰富的框架和库使得 PHP 成为网络开发的优选语言。无论你是初学者还是专业开发人员,PHP 都是你的一个很好的选择。PHP 7 和 PHP 8 的改进使得 PHP 的性能得到了显著提高,使其在许多情况下能够与 Node.js 和 Python 等语言竞争。虽然 PHP 最初并不是面向对象的语言,但在 PHP 5 和 PHP 7 中,它增加了许多面向对象编程的特性,如类、对象、抽象类、接口、继承和多态等。
PHP特性集合
Bug制造者
02-14 955
php特性集合
php特性(持续更新)
weixin_74427106的博客
03-29 246
它让我们不要输出数字,还需要让num为数字,但看到intval 我们就需要敏感;intval函数还有这一特点:intval处理一个数组对象时,会返回1;php特性一些函数的使用。先分析一下这个php代码。一下两个函数官方的解释。
PHP动态特性的捕捉与逃逸.pdf
08-08
PHP 是一门灵活的语言,其中包含了很多“黑魔法”,灵活地语法带来了很多便利也带来很多安全问题。 一段代码,其使用变量作为参数,且改变变量的值将可能导致这段代码发生功能上的变化,我将这种现象成为“PHP 的...
高效稳定、安全易用、线上实时验证的全异步高性能网络库,通过PHP扩展方式使用.rar
06-03
PHP作为一种脚本语言在互联网开发中处于一种重要地位,不断升级的PHP版本也为网站开发提供了越来越多的特性和新功能。但是不同PHP版本之间的兼容性不尽相同,在选择服务器时应该注意选择高度兼容性的 PHP 版本以及...
看雪2018安全开发者峰会PPT-8.潜伏在PHP Manual背后的特性及漏洞
08-30
看雪2018安全开发者峰会PPT-8.潜伏在PHP Manual背后的特性及漏洞
php语言特性
weixin_63231007的博客
04-15 1881
<1>弱类型比较 我们来看下面一道题: if($_GET['a']!=$_GET['b'] && md5($_GET['a'])==md5($_GET['b'])){ ehco flag; } 如何才能满足这样的if判断条件呢?需要使两个变量不相等而md5值相等。这样的思路可以通过MD5碰撞来解决。让我们思路回到php语言,==存在弱类型比较,而md5函数返回值是一个32位的字符串,如果字符串以"0e"开头的话,类型转换机制会将它识别为一个科学计数法表
网络安全-php安全知识点
关注网络安全、云原生安全
10-09 1万+
目录 语法与注释 变量 输出 超级全局常量 函数 常用 数据库相关 mysqli pdo 写给和我一样没学过php安全小白,只是为了让你看懂php代码,专门学后端的请出门左转。学安全需要学的东西太多,你不可能把js学的和做前端的同学一样好、把php学的和做后端的一样好,把数据库学的和做数据库优化的同学一样好,把Apache学的和做服务器端的同学一样好,我们只能关注他们涉及的领域中不安全的因素,找到漏洞,提出修改意见。 php是后端常用的语言,在靶机或CTF比赛中也需要进行php代码审
PHP安全相关知识
热门推荐
wanan的博客
10-07 1万+
PHP安全相关知识
php语言有哪些特性,盘点PHP编程语言具有的特性
weixin_33892912的博客
03-16 1071
21世纪网络信息时代,PHP语言应用发展前途良好,PHP编程人才一路走高。PHP的特点包含了C语言、Java的特点,所以三者是有一定的联系的。如果要学习PHP是很容易的,因为它的入门门槛相比于其他的语言较低,学习起来得心应手,更重要的是PHP编程适用于Web开发领域,它的使用特别广泛。谈谈PHP的编程语言有哪些特性PHP语言的特性包括以下几点:1、PHP支持几乎所有流行的数据库以及操作系统。2、...
php所有特性,你应该学习的10个PHP特性
weixin_42510407的博客
03-17 244
你应该学习的10个PHP特性PHP是一种松散类型的编程语言,因此没有提供任何指定输入参数类型和返回值类型的方法。1、标量类型声明(PHP7)PHP是一种松散类型的编程语言,因此没有提供任何指定输入参数类型和返回值类型的方法。 PHP7通过以下语法改变了这个现象:function add(int $x, int $y) : int{return $x + $y;}echo add(1, 2);有效类...
PHP.ini的安全配置
李木
10-31 399
好久没有写这里的博客了,今天是 2013年10月31号。 追加一篇日志。         php用越来越多!安全问题更为重要!这里讲解如果安全配置php.ini   安全配置一   (1) 打开php安全模式 php安全模式是个非常重要的内嵌的安全机制,能够控制一些php中的函数,比如system(), 同时把很多文件操作函数进行了权限控制,也不允许对某些关键文件的文件,比如/
phper必须了解的php常识
weixin_30520015的博客
05-05 278
PHP,是英文超级文本预处理语言Hypertext Preprocessor的缩写。PHP 是一种 HTML 内嵌式的语言,是一种在服务器端执行的嵌入HTML文档的脚本语言,语言的风格有类似于C语言,被广泛的运用。PHP的另一个含义是:菲律宾比索的标准符号。 功能   PHP 独特的语法混合了 C、Java、Perl 以及 PHP 自创新的语法。它可以比 CGI 或者 Perl 更快速的执行动...
推荐Linux管理员不可不知十大PHP安全要点
SCutePHP
12-23 715
PHP是使用最广泛的脚本编程语言之一。市场份额颇能说明其主导地位。PHP 7已推出,这个事实让这种编程语言对当前的开发人员来说更具吸引力。尽管出现了一些变化,但是许多开发人员对PHP的未来持怀疑态度。一个原因是PHP安全。 Linux管理员不可不知十大PHP安全要点 PHP是使用最广泛的脚本编程语言之一。市场份额颇能说明其主导地位。PHP 7已推出,这个事实让这种编程语言对当前的开发
php7新特性
sunayxin的博客
06-05 716
有好多人程序员都喜欢把php推到一个很高的位置上,比如php是这个世界上最好的语言一样。但是无可厚非的是,它还是有很多缺陷的。php的语言没有经过官方的发布与认证,完全是靠一些开源的代码在支撑,有好处也有坏处。最近facebook开发了一个hhvm引擎来快速提升php的性能优化。php语言的主要特征就是开发效率快,语言性能低。php7专门是为了php性能优化而设计的。 php特性 1、变
请用PHP8新特性来代替代码中@
06-08
->),可以更加简洁和安全地访问深层嵌套的属性或方法,避免了使用 "@" 符号的需要。因此,可以使用 Nullsafe 运算符来代替代码中的 "@" 符号,示例如下: ``` if ($res_code == 200 && $res_data?->is_activation ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值