17- PHP 开发-个人博客项目&TP 框架&路由访问&安全写法&历史漏 洞

最新推荐文章于 2024-06-17 10:49:46 发布
最新推荐文章于 2024-06-17 10:49:46 发布
阅读量459 收藏 7
点赞数 3
文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/san3144393495/article/details/139030145
版权

常见的php框架:laravel和thinkphp和yii

这里以thinkphp为例

thinkphp目录访问设置

这里只找到了这个3.多的源代码,没找点5.的,凑合一下

链接:GitHub - top-think/thinkphp: ThinkPHP3.2 ——基于PHP5的简单快速的面向对象的PHP框架

打开thinkphp的配置文件

我们访问主页显示笑脸就是引用的这个文件,修改它主页也会变成别的,所以主页是由这个文件所控制的

而这个框架是有一个引用关系的,直接访问主页是笑脸界面,那通过url是怎么样的引用关系

http://127.0.0.1/thinkphp-master/thinkphp-master/index.php/Home/index/index

而thinkphp的设计理念

就是入口文件/模块/控制器/参数

index.php/Home/index/index

index.php入口文件  Home模块  index控制器  index参数

我现在在主页文件多添加个参数,访问我添加的参数,主页也会发生变化

就变成了小迪

也可以多添加一个控制器及添加控制器的参数,造成页面不同

也可以正常的传参和显示

实战意义

看到这样的地址就可以看出来,c代表的模块,a代表的控制器,id代表的参数

这种看一下就很可能是框架开发的网站

举一反三,修改自己的tk

在创建一个模块xiaodi,第一个字母要大写

http://127.0.0.1/thinkphp-master/thinkphp-master/index.php/Xiaodi/index/xiaodi?x=1

访问这个目录,控制器还是index

成功输出来,这个是把模块改了,控制器并没有改

3.几的tk控制器有命名规则

改了一下才可以访问

tkphp的sql注入过滤

如果只是直接写一个变量接受提交方式进行传参,执行sql语句,没有过滤什么的那么一定有sql注入问题

这种就是$id=$_GET['x']  

基础写法,会造成sql问题

and 1=2就会被接受执行

按照tk手册的官方写法

这样在后面在输入and 1=2就不会被带入执行,很安全,没有sql问题,按照tk的官方写法,tk就调用自身框架别的php对传参进行过滤,严格过滤

经过了那么多文件的过滤

tk使用手册的查询sql写法

使用官方写法就很安全,

也是很安全

然后这种最好就看看有没有网上公开的漏洞

果然日志泄露

jian

kang

上线之叁
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CareyShop 基于TP5&Vue的商城框架系统
08-15
CareyShop 商城框架系统 CareyShop(简称 CS)是一套基于 ThinkPHP5 框架开发的高性能商城框架系统,秉承简洁、快速、极致的开发理念,采用前后端分离,支持分布式部署。框架内部使用面向
openwrt带mentohust(锐捷认证),适用于tp-wr841-v9&tp-wr842-v4.rar
08-31
昨天刚刚编译的openwrt带mentohust(锐捷认证),适用于tp-wr841-v9&tp-wr842-v4,目前刷在硬改的tp-wr842-v4运行,一切功能均正常,系统稳定。有需要的朋友拿去用吧。
index .php Home,php框架 - thinkphp 在隐藏index.php和Home模块时有问题
weixin_31308407的博客
03-10 304
我想隐藏home和index.php原来是这样的http://localhost/index.php/Home/Index/test.html然后我加了配置文件'MODULE_ALLOW_LIST' => array('Home'),'DEFAULT_MODULE' => 'Home','URL_MODEL' =>...
渗透学习-17- PHP 开发-个人博客项目&TP 框架&路由访问&安全写法&历史
2301_78897940的博客
03-18 147
ThinkPHP教程_PHP框架之ThinkPHP(一)【入门和介绍、ThinkPHP版本和文件夹规范、项目入口文件】 ThinkPHP教程_PHP框架之ThinkPHP(二)【URL路径访问与模块控制器、URL四种模式、PATHINFO的两种模式、模板与控制器之间的关系】 ThinkPHP官方手册
小迪安全17PHP 开发-个人博客项目&TP 框架&路由访问&安全写法&历史
weixin_73760178的博客
01-14 501
发现此页面不是网页上显示的页面,通过寻找,得知application文件的index/controller/index.php文件进行显示,对其今下午修改。举一反三:在application文件下创建一个新的文件作为新的模块,再新文件下创建新的controller并创建新的控制器,并进行url访问。http://serverName/index.php(或者其它应用入口文件)/模块/控制器/操作(方法)/[参数名/参。以及application文件下的index是以url访问进行的。
6.php开发-个人博客项目&Tp框架&路由访问&安全写法&历史
金灰的博客
01-24 682
​1-基于TP框架入门安装搭建使用2-基于TP框架内置安全写法评估3-基于TP框架实例源码安全性评估​​(写法看官方,看手册)thinkphp官网:https://www.thinkphp.cn/(yellow---多TP框架开发)​​文件/目录/控制器/方法文件/目录/控制器/方法.html (要看具体配置支不支持)文件?s=index/控制器/方法index.php/index/Index/index --用别的文件需要继承一下——extends Controller Test.php--要
小迪安全笔记:第十七天 PHP开发-个人博客项目&TP框架&路由访问&安全书写&历史
signored的博客
05-29 122
2.数据库语句用TP框架写法也有内置过滤sql注入。1.数据接受用TP框架写法有内置过滤sql注入。黑盒:判断是不是tp,怎么看版本--报错。2.用kunyu看历史。白盒:看源代码配置文件。
第85天:代码审计-PHP项目&TP框架&SQL&XSS&架构&路由&调试&写法
weixin_71529930的博客
05-18 625
流程:调试开关-->Show.php-->input写法-->SQL执行监控。注入payload,如果1<2延时两秒,否则正常,看sql语句是否能够注入。开启调试,首先查看主目录下index文件的模板目录是哪个目录。配置完成以后随便打开一个新闻页面,查看流程中的最后一个文件。这里因为是mvc框架开发的,所以要看输出要看view目录下。查看后台输出的地方是否对输出的内容做了一些转义。这里seay监控不到了,自带的插件可以监控到。登录后台,进行留言管理,发现会弹窗。常规架构,mvc架构,第三方架构。
第27天:安全开发-PHP应用&TP框架&路由访问&对象操作&内置过滤绕过&核心
IceCream的博客
04-24 752
参考:https://www.kancloud.cn/manual/thinkphp5_1
027-安全开发-PHP应用&TP框架&路由访问&对象操作&内置过滤绕过&核心
wushangyu32335的博客
01-30 1120
小迪安全2023笔记
Day27:安全开发-PHP应用&TP框架&路由访问&对象操作&内置过滤绕过&核心
qq_61553520的博客
03-09 1291
小迪安全-Day27:安全开发-PHP应用&TP框架&路由访问&对象操作&内置过滤绕过&核心
JuniperSSG20-SH防火墙实现拨号远程L2TP&IPSECXauthVPN.pdf
11-20
JuniperSSG20-SH防火墙实现拨号远程L2TP&IPSECXauthVPN.pdf
华为 NE05E&NE08E V300R003C10SPC500 特性描述 - MPLS-TP OAM
04-18
MPLS-TP(Multiprotocol Label Switching Transport Profile)是一种融合了MPLS包交换 和传统传送网特性的传输技术,可以替代原有传送网作为未来的承载网。
tp5.1 框架路由操作-URL生成实例分析
10-15
主要介绍了tp5.1 框架路由操作-URL生成,结合实例形式分析了tp5.1 框架针对路由操作URL生成的相关实现原理、操作技巧与注意事项,需要的朋友可以参考下
深入解析PHP函数
最新发布
NatLindsay的博客
06-17 370
PHP函数是一种重要的编程概念,它可以帮助开发者组织和管理代码,提高代码的可重用性和可维护性。在PHP中,函数可以完成各种任务,从简单的数学计算到复杂的数据库查询和数据处理。本文将从多个角度探讨PHP函数的应用,涵盖了函数的定义和调用、内置函数的使用、自定义函数的创建以及常见的函数库。函数的参数:函数可以接受零个或多个参数,用于传递数据给函数内部使用。函数可以带有参数,用于接收输入,也可以返回值。函数命名:选择一个有意义的函数名,以便描述函数的功能。函数体:编写函数的具体实现代码,实现特定的功能。
ImageNet-1k 测试集 两大坑
weixin_42815846的博客
06-16 262
不然就会浪费一次提交机会,直接提交submission.txt就可以,注意每排5个预测结果,用于计算top5 error。2、用torchvision自带的imagenet dataset类加载进来的数据的类别标签,)但torchvision自动给你弄成。1、官方网站提交test set标签时,,但是他们的类别id不一样!以chickadee 山雀为例。这是torchvision的。他们的WNID都一样,
1. NAS和SAN存储
u010198709的博客
06-13 531
流程:存储端共享裸块设备,客户端连接存储映射出sdx的虚拟硬盘,客户端分区格式化挂载使用。IQN名称格式: iqn.yyyy-mm.反域名:自定义名称。用户名:openfiler, 密码:password。磁盘接口:SATA,SAS、NVME。支持nfs、cifs协议共享存储空间。nfs:适用于Linux、Unix。类型:IP SAN、FC SAN。cifs:适用于Windows。磁盘类型:机械硬盘、SSD。基于文件系统级别的共享。DAS 直接附加存储。NAS 网络附加存储。SAN 存储区域网络。
PHP异常处理的最佳实践及常见问题解决
NatLindsay的博客
06-11 335
异常处理的基本原理是,当try块中的代码发生异常时,PHP会寻找匹配的catch块进行处理,如果没有找到对应的catch块,则异常会向上传递直至被处理为止。PHP异常处理是在开发过程中至关重要的一环,它能够帮助开发人员捕获和处理程序运行过程中的错误和异常情况,提高代码的稳定性和可靠性。在实际开发中,可能会遇到各种各样的异常处理问题,比如异常未被捕获、异常信息不清晰、异常处理性能问题等。合理地使用自定义异常类能够使异常处理更加灵活和规范化,有助于统一异常信息和错误码,提高代码的可维护性和可读性。
小程序开发后端如何使用phptp框架
05-16
要使用 PHPTP 框架开发小程序后端,需要遵循以下步骤: 1. 安装 TP 框架:可以在 TP 框架的官网(https://www.thinkphp.cn/)上下载最新的版本,并根据官方文档进行安装。 2. 创建项目:使用 TP 框架自带的命令行工具创建项目。 3. 配置数据库:在项目的配置文件中配置数据库连接信息。 4. 编写控制器:在 TP 框架中,控制器是处理请求的核心部分。可以根据业务需求编写不同的控制器,每个控制器对应一个或多个请求处理方法。 5. 编写模型:模型是与数据库交互的组件,可以用于查询、插入、更新和删除数据。可以根据业务需求编写不同的模型,每个模型对应一个或多个数据库表。 6. 编写视图:视图是控制器返回给客户端的数据的呈现方式。可以使用 TP 框架自带的视图引擎编写视图模板。 7. 路由设置:在 TP 框架中,路由是将请求映射到相应的控制器和方法的机制。可以在路由配置文件中设置路由规则。 8. 测试和调试:在开发完成后,可以使用 TP 框架自带的调试工具进行测试和调试。 以上就是使用 TP 框架开发小程序后端的基本步骤。需要注意的是,不同的业务需求可能需要不同的功能模块和组件,开发过程中需要根据具体情况进行调整和扩展。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值