第十四天:PHP 开发,输入输出类&留言板&访问 IP&UA 头&来源

最新推荐文章于 2024-08-24 17:46:18 发布
最新推荐文章于 2024-08-24 17:46:18 发布
阅读量596 收藏 12
点赞数 17
文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/san3144393495/article/details/138718328
版权

1.PHP-全局变量$_SERVER

2.MYSQL-插入语法INSERT

3.输入输出-XSS&反射&存储

4.安全问题-XSS跨站&CSRF

1.输入输出类安全问题

反射性xss

这个先准备一个数据,随便弄一个表名字,在随便弄一点数据存入即可

作为连接的数据库,然后构造搜索框和输出回显

数据库配置文件

定义数据库查询语句,并且输出来

而上面会出书我们搜索的3的这个回显,如果我们插入js的代码,js就是前端html的代码,在代码输出的时候就会当作Jscript代码去执行

输入<script>alert(1)</script>

就会造成弹窗,这个可以盗取cookie和结合工具进行钓鱼,

存储型xss

先写html1的留言表单

<head>
    <meta charset="UTF-8">
    <title>留言板</title>
</head>
<hr>留言板<hr>

<form id="form1" name="form1" method="post">
    <p>
        <label for="textfield">ID:</label>
        <input type="text" name="id" id="textfield">//
    </p>
    <p>
        <label for="textfield2">昵称:</label>
        <input type="text" name="name" id="textfield2">
    </p>
    <p>
        <label for="textfield3">QQ:</label>
        <input type="text" name="qq" id="textfield3">
    </p>
    <p>
        <label for="textarea">内容:</label>
        <textarea name="content" id="content"></textarea>
    </p>
    <p>
        <input type="submit" name="submit" id="submit" value="提交">
    </p>
</form>
<p>
<hr>
<p>留言内容;</p>
</html>

然后构造一个存储数据的数据库

<?php
include('config/data.php');
$i=$_POST['id'];
$n=$_POST['name'];
$q=$_POST['qq'];
$c=$_POST['content'];
//INSERT INTO `lyb` VALUES (1, 176, 485, 'zI6V87Q1ki', 'UjScLrVEDL', '6UNgmHCNfe', 'admin');
$sql="INSERT INTO `lyb` VALUES ('$i', '804', '$q', '$n', '$c', 'admin');";

mysql_query($sql,$data);
echo $i.$n.$q.$c;

这里要注意主键不能重复,不然就不能写入文件,我数据库的主键是id是1

能正常写入数据

之后在写一个存储函数的输出

上面函数每次都会执行,因为数据库没有设置为空约束,所以空数据也会添加上去,所以加一个判断条件,数据不为空的时候在执行

if(empty($i)){
    $sql="INSERT INTO `lyb` VALUES ('$i', '804', '$q', '$n', '$c', 'admin');";
    mysql_query($sql,$data);
}
//INSERT INTO `lyb` VALUES (1, 176, 485, 'zI6V87Q1ki', 'UjScLrVEDL', '6UNgmHCNfe', 'admin');

$sqlc="select * from lyb";
mysql_query($sqlc,$data);
$result=mysql_query($sqlc,$data); //执行的结果赋值给变量
while($row=mysql_fetch_array($result)){ //循环,括号内是条件,row定义数组
    echo 'id:'.$row['flag'].'<br>'; //输出关联数组内容
    echo 'qq:'.$row['name'].'<br>';
    echo 'name:'.$row['id'].'<br>';
    echo 'content:'.$row['id'].'<br>';
}

这种就会造成存储型xss

我们把内容换成js语句

<script>alert(1)</script>

没访问一次,都会谈一次窗

这种存储型xss就会把攻击语句存储到了对面的数据库,而每次访问这个网站,都会把存储到数据库的攻击语句都会被查询出来,调用执行

输入输出类

只要是可以输入,并且展示出来的地方都可能存在,留言板,评论区,聊天框,私信等等

深入探讨xss

而有一些网站会接受并且显示我们的ip浏览器信息等等

比如站长之家

而这个浏览器信息我们就可以抓包,修改成xss的语句,实现弹窗,但是这个已经被修复了,把xss语句过滤掉了

就这样只要显示在网站界面我们可以控制的都可以尝试xss漏洞

referer伪造

这个比如一些登录框,点击它之后登录成功获取到的referer是登录网站的,而我们直接访问referer就是我们的浏览器,有一些就会严重referer来源,比如是他的网站跳转过来的才可以

ping

an

上线之叁
关注
  • 17
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
小迪安全 第14php开发-个人博客项目&输入输出&留言板&访问IP&UA来源
qq_65106718的博客
04-08 914
1.PHP-全局变量$_SERVER2.MYSQL-插入语法INSERT3.输入输出-XSS&反射&存储4.安全问题-XSS跨站&CSRF等。
第22:安全开发-PHP应用&留言板功能&超全局变量&数据库操作&第三方插件引用
IceCream的博客
04-19 1272
php//包含文件//查询数据库所有数据//执行该结果并将结果存储在data中echo '用户名:' . $row[0] . '';echo '内容:' . $row[1] . '';echo 'IP地址:' . $row[2] . '';echo 'UA浏览器:' . $row[3] . '';del =$row0'>删除 ";//输出一个删除按钮,href写的是当前文件名,del是删除对象,值为用户名//接收del的值,参数名位del。
网安之php开发第十四天
B_l_a_nk的博客
03-30 299
1、PHP-全局变量$_SERVER 2、MYSQL-插入语法INSERT 3、输入输出-XSS_x0005_&反射&存储 4、安全问题-XSS跨站&CSRF等
GetIPUA:获取访客 IPUA
04-11
在IT行业中,获取访客的IP地址和User-Agent(UA)是网站分析、安全防护以及个性化服务的关键步骤。本文将详细讲解"GetIPUA"这一工具或方法,它旨在帮助开发者轻松获取这些信息,尤其在PHP环境下。 首先,让我们了解...
prosys-opc-ua-server和prosys-opc-ua-browser安装包
03-17
总结,Prosys OPC UA Server和Browser是开发和调试OPC UA系统的强大工具,它们结合使用可以帮助用户理解OPC UA协议,测试服务器性能,以及确保数据通信的正确性。在Windows系统中,这两个工具的安装和使用将为OPC UA...
S2OPC - Safe & Secure OPC UA:开源安全的OPC UA堆栈-开源
05-26
S2OPC OPC UA工具包是研发项目INGOPCS(2016-2018)的结果,其目标是:-开发OPC-UA标准(IEC 62541)的开源和安全实施,-证明遵循具有敏感工业控制系统安全要求的OPC-UA标准。 由以下机构组成的联盟:* Systerel...
飞兆推业界最小“USB 2.0”MicroPak™芯片级封装开关
11-27
该器件的紧凑封装结合极低功耗 (<1uA>720 MHz) 特性,是当今多功能蜂窝电话理想的USB 2.0开关选择,能提供高性能并同时节省空间。飞兆半导体的MicroPak 10接线端芯片级封装尺寸仅为1.6 mm x 2.1 mm,其占位面积较...
mirco.com.ua:Mir&Co Foundation网站
04-07
7. **可访问性**:遵循WCAG(Web Content Accessibility Guidelines)指南,确保网站对所有用户,包括残障人士,都具有良好的可访问性。 综上所述,"mirco.com.ua:Mir&Co Foundation网站"的更新和重构项目是一个...
推荐一个完全自由的目录设计网站
qq_30049249的博客
08-22 424
因此,如果想在网站上写一本自己的书,我们需要一个目录设计的工具。现在,我们点击全部,看到自己的所有文章。这样,先创建各级栏目,再将文章拖动到各级栏目,就实现了对文章到整理。上面的链接提供参考,这里主要介绍其中的目录设计工具,也叫栏目设计。好,现在我们来出一本书,想一个名字,就叫《学习PHP动态网站开发》如果我们能通过网站出一本书,这将是一件很酷的事。事实上,我们通过网站发布知识,最常见的是写博客。先点击所有,查看子栏目和文章,然后进行拖动排序。好,本文说的是完全自由的目录设计,有多自由呢?
day32(8/20)——playbook剧本安装nginx、roles
wh992610的博客
08-21 852
roles(⻆⾊): 就是通过分别将variables, tasks及handlers等放置于单独的⽬录中,并可以便捷地调⽤它们的⼀种机制。假设我们要写⼀个playbook来安装管理lamp环境,那么这个playbook就会写很⻓。所以我们希望把这个很⼤的⽂件分成多个功能拆分, 分成apache管理,php管理,mysql管理,然后在需要使⽤的时候直接调⽤就可以了,以免重复写。就似编程⾥的模块化的概念,以达到代码复⽤的效果。
linux基本指令
m0_64450406的博客
08-20 707
vi/vim有三种基本模式:普通模式(Normal Mode)、插入模式(Insert Mode)和命令行模式(Command-line Mode)。-t 或 --date=时间:使用指定的时间(而不是当前时间)来设置文件的访问和修改时间。-d 或 --date=字符串:使用指定的字符串来设置文件的访问和修改时间。进入vi/vim:在终端中输入vi或vim后跟文件名,如果文件不存在,将创建该文件。-r 或 --reference=文件:使用指定文件的访问和修改时间来更新目标文件的访问和修改时间。
DHCP原理与配置
WJC_manong的博客
08-20 766
DHCP(DynamicHostConfigurationProtocol,动态主机配置协议)通常被应用在大型的局域网络环境中,主要作用是集中地管理、分配IP地址,使网络环境中的主机动态的获得IP地址、Gateway地址、DNS服务器地址等信息,并能够提升地址的使用率。DHCP作为用应用层协议,它依靠并且使用着传输层中udp协议。对于DHCP中分为客户端,和服务端。客户端用的端口为68,服务端的端口为67。
WordPress禁止后台自定义功能
xiaoyuya
08-20 258
wordpress后台可以彻底禁止主题的自定义菜单功能,下面这段代码添加到functions.php文件中,后台外观菜单中的”自定义”就会消失不见了。小代码解决大问题,你学废了嘛。
更换域名后图片不显示
weixin_52675595的博客
08-22 218
一、2.3.2版本以下版本:可以使用命令行:php think reset:imagePath http://old.com --url http://new.com。原因:系统中图片是带域名存储在数据的,所以更换域名后,图片地址还是以前的域名,所以访问不到;可以替换部分图片的地址,但是还有部能替换的只能重新上传图片,或者完善这个命令。以下两个方法都是只能更换部分图片,并不是全部的,所以域名更换需谨慎。平台 - 维护 - 安全维护 - 清楚缓存 更换域名。问题:系统更换域名后,图片不显示了;
设备运维故障排查与修复技巧
一去二三里...的博客
08-22 991
运维中最常见的个故障问题及其解决方法
SSRF漏洞——pikachu
最新发布
m0_65858385的博客
08-24 411
综上,SSRF的危害极大,我们在进行代码审计的时候尤其需要注意是否存在file_get_contents()、fsockopen()、curl_exec()、fopen()、readfile()这些函数,这些函数是造成SSRF漏洞的成因之一。而我们预防SSRF漏洞可以从以下三点进行防御:1、限制请求的端口只能为Web端口,只允许访问HTTP和HTTPS的请求。2、限制不能访问内网的IP,以防止对内网进行攻击。3、屏蔽返回的详细信息。
社区维修平台
a253399414的博客
08-22 716
【代码】springboot社区维修平台
PhpStorm环境配置与应用
2401_83447580的博客
08-21 938
通过修改phpstorm.vmoptions文件调整PhpStorm的内存分配以提高性能。设置排除不需要索引的目录以减少项目的索引时间。禁用不常用的插件以减少启动时间和内存占用。自定义快捷键以提高工作效率。通过以上配置和应用,PhpStorm能够极大地提高PHP开发者的开发效率和工作质量。
B&R2003系统手册:数字量输入模块DI详细解析
"该文档是B&R2003使用手册的一部分,主要涵盖了数字量输入模块的详细信息,包括DI135、DI138、DI140、DI435、DI439.7、DI439.72和DI645等,介绍了输入输出电路、接线和示例。" 在Python机器学习领域,Scikit-learn...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值