PHP学习笔记(二)

最新推荐文章于 2023-01-04 21:52:11 发布
最新推荐文章于 2023-01-04 21:52:11 发布
阅读量207 收藏
点赞数
分类专栏: web渗透 笔记 文章标签: php web安全 token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44558065/article/details/118671083
版权
本文解析了一个PHP代码片段,展示了如何使用Session和MD5生成token,确保用户会话的安全验证。通过`token_start`和`token_check`函数,实现了一次性token的生成与验证过程,适用于简单的Web应用防止CSRF攻击。
摘要由CSDN通过智能技术生成

分析理解一个添加基础token功能的代码

session_start(); //启动Session
 function token_start() { //创建函数token_start
     $_SESSION['token'] = md5(rand(110000)); 创建变量token,计算生成随机数的MD5散列
 } 
 
//验证token
 function token_check() { 
     $return = $_REQUEST['token'] === $_SESSION['token'] ? true : false; //验证请求token与生成token是否一致,将结果(true、false)返回给return
     token_start(); 
     return $return; 
 } 
    
 //如果token为空则生成一个token 
 if(!isset($_SESSION['token']) || $_SESSION['token']=='') { 
     token_start(); 
 } 
 
 if(isset($_POST['test'])){ 
     if(!valid_token()){ //如果是无效的,打印失败
         echo "token fail"; 
     }else{ //反之,有效则成功
         echo 'success,Value:'.$_POST['test']; 
     } 
 }

session 变量用于存储关于用户会话(session)的信息,或者更改用户会话(session)的设置。
Session 的工作机制是:为每个访客创建一个唯一的 id (UID),并基于这个 UID 来存储变量。UID 存储在 cookie 中,或者通过 URL 进行传导。
session_start()就是用来启动 Session的
function,用来创建php函数
语法

function functionName()
{
    // 要执行的代码
}

functionName以字母或下划线开头(不能以数字开头)
存储session 变量的正确方法是使用 $_SESSION 变量

md5() 函数计算字符串的 MD5 散列。
md5() 函数使用 RSA 数据安全,包括 MD5 报文摘要算法。
语法

md5(string,raw)

参数
string:必需。规定要计算的字符串。
raw:可选。
规定十六进制或二进制输出格式:TRUE - 原始 16 字符二进制格式;FALSE - 默认。32 字符十六进制数

rand() 函数生成随机整数。
语法

rand(min,max)生成区间内的随机数

运算符
x === y 绝对等于 如果 x 等于 y,且它们类型相同,则返回 true

isset() 函数用于检测变量是否已设置并且非 NULL。
语法

bool isset ( mixed $var [, mixed $... ] )

参数说明:
$var:要检测的变量。
如果一次传入多个参数,那么 isset() 只有在全部参数都被设置时返回 TRUE,计算过程从左至右,中途遇到没有设置的变量时就会立即停止。
返回值
如果指定变量存在且不为 NULL,则返回 TRUE,否则返回 FALSE。

$_POST 变量用于收集来自 method=“post” 的表单中的值。

苏浅时
关注
专栏目录
Session 反序列化漏洞
Welcome To Myon'Blog !
07-03 503
Session 反序列化 当序列化存储Session数据与反序列化读取Session数据的方式不同时,就可以利用引擎之间的差异产生序列化注入漏洞,session的反序列化漏洞就是利用php处理器和php_serialize处理器的存储格式差异。 总的来说就是,我们先判断它是否存在这样一个漏洞,一般看到有这些比较具有特征性PHP代码我们就该想到这个方向,存在session反序列化漏洞的话,我们先进行序列化,然后在结果前添加 | (管道符),在传参页面进行上传,再去刷新读取页面即可。
php反序列化poc链子基础例子
CaiNiaoLW的博客
08-31 599
源码: <?php class Read { public $var; public $token; public $token_flag; public function __construct() { $this->token_flag = $this->token = md5(rand(1,10000)); $this->token =&$this->token_flag; }
大学生HTML5竞赛网站,2019全国大学生信息安全竞赛Web Writeup
weixin_36329818的博客
06-03 475
这次web题真切得让我感受到了我得辣鸡 顿时被打了鸡血 最后只做出来一题,但是有两道题都是马上要出来了最后时间不够 ,这里总结一下web1 JustSoso打开之后是这样得右键查看源码提示需要传参数,这里存在LFI漏洞,常规操作伪协议读一下源码:index.php:error_reporting(0);$file = $_GET["file"];$payload = $_GET["payload"...
BUUCTF--[极客大挑战 2020]Greatphp
qq_46263951的博客
08-11 1227
进入页面后可以看到给出的代码 <?php error_reporting(0); class SYCLOVER { public $syc; public $lover; public function __wakeup(){ if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($th
php反序列化漏洞 freebuf,入门Web需要了解的PHP反序列化漏洞
weixin_29973077的博客
03-09 683
前言最近才开始学习安全,虽然练习过南邮CTF和Bugku的CTF,但是打各种线上CTF经常不尽人意,因为最近的比赛都有着一个新手入门CTF不常遇到的考点—————反序列化。看了很多师傅们,各种前辈们的文章,于是想着总结一下已经学到的东西在我当时PHP基本功不怎么扎实的时候,看反序列化就是一脸懵逼,所以我认为在接触反序列化漏洞之前需要掌握以下内容看了上面的文章应该就会了类与对象,一些魔术方法(比较重...
PHP个人学习笔记
03-13
PHP个人学习笔记
PHP学习笔记
10-28
PHP学习笔记 PHP学习笔记学习PHP的基础知识之一,本笔记将详细介绍PHP中的数组和类及对象。 一、数组 在PHP中,数组是一个关联数组,或者说是哈希表。PHP不需要预先声明数组的大小,可以用直接赋值的...
php框架学习笔记.doc
01-12
PHP框架学习笔记 PHP框架学习笔记学习PHP框架的重要笔记,涵盖了CI框架的基本概念、控制器、模型、视图、URI路由、数据库操作、表单提交、上传文件、Session管理等方面的知识点。 CI框架的业务流程是从域名或...
PHP学习笔记 php入门知识
10-28
首先,在这篇PHP学习笔记的文档中,我们看到了关于PHP数组的介绍。PHP的数组与传统意义上的数组有所不同,PHP的数组实际上是一种关联数组,也就是哈希表。这意味着PHP数组中的每个元素都与一个键值(key)相关联...
mysql中的rand()函数简介以及和其他函数组合使用实践
最新发布
qq_44801116的博客
01-04 4553
其次分别介绍round与rand的合用、ceiling与rand的合用、floor与rand的合用、md5rand的合用。md5(n):必须要有参数n,计算n对应的md5摘要,并返回32位的十六进制的字符串。(2)有参数:rand(n)指定随机数生产的种子n,则返回可重复的随机数序列。实例2:select ceiling(rand());实例2:select floor(rand());rand():随机在[0,1)之间,故结果肯定为1。实例2:select md5(rand());
php 生成 N位随机数,并且加上MD5加密
静哥亻门
03-05 2045
function genToken( $len = 32, $md5 = true ) {        # Seed random number generator           # Only needed for PHP versions prior to 4.2           mt_srand( (double)microtime()*1000000 );
php 接口统一生成缓存以及MD5加密
曲帅的博客
04-22 204
<?php namespace app\store\controller\api; use library\Controller; use think\Db; use think\facade\Cache; /** * 公共类 * Class Base * @package app\store\controller\api */ class Base extends Controller { public function initialize() { .
PHP获取随机字符串的几种方法
偷懒的加菲
10-08 1558
转载:https://www.cnblogs.com/myIvan/p/9533189.html 方法一: shuffle函数(打乱数组)和mt_rand函数(生成随机数,比rand速度快四倍) /** * 获得随机字符串 * @param $len 需要的长度 * @param $special 是否需要特殊符号 * @return string...
mysql md5 返回数字,MySQL上的MD5RAND())只返回数字
weixin_36317492的博客
01-21 576
I'm running this sample code I found while googling:SELECT MD5(RAND())But, to my surprise, MD5 is returning plain digits, instead of hexadecimal digits.Using CONV(MD5(RAND()), 10, 16) seems to solve m...
CTF-07
渗透笔记
01-19 435
题目说明:天下武功,唯快不破 1.打开链接后,页面如图所示 2.这应该是网站根目录下的index.php的源码,分析源码得知: 当访问index.php文件时,会将flag.php的内容写到一个txt文件里, 这个txt文件名为1到1000的一个随机数的md5加密结果, 其路径为根目录下的u目录下 3.编写python脚本爆破文件名,访问这个txt文件,不断刷新主页,增加成功概
PHP 的 uniqid 函数产生的 id 真的是唯一的么?
weixin_33892359的博客
05-18 190
PHP 的 uniqid 函数产生的 id 真的是唯一的么? 最近使用到了 uniqid,就产生了疑问?uniqid 生成的 id 由什么组成?真的是唯一的么?什么情况下会产生冲突? 从文档中看到 uniqid 函数有两个参数 uniqid 的结构 看源码: PHP_FUNCTION(uniqid) { ... gettimeofday((struct timeval *) &a...
mysql中的 随机字符串的生成
weixin_30596165的博客
12-11 212
方法1. SELECT SUBSTRING(MD5(RAND()),FLOOR(RAND()*26)+1,6) AS rand_str; 上诉示例产生的是:6位长度的随机字符串. 函数解释: rand() :产生 0-1之间的小数,简称种子.rand()*25 产生的数 在 0- 25 之间,不包括25 floor(val): 生成最近接val的最大整数 md5()...
PHP 生成16位唯一随机码
风达的专栏
12-04 8375
substr(md5(uniqid(rand(),1)),   8,   16); 还有一个方法生成是使用md5生成16位的 但是不知道为什么在我这里测试生成的全是乱码,只好用这个了
pte-文件上传总结
weixin_51387754的博客
10-15 1171
首页 > CISP > 考试问答 > CISP-PTE是什么考试 CISP-PTE是什么考试 CISP 责任编辑:唐丹平 2022-05-20 摘要:CISP-PTE中文全称是注册渗透测试工程师,英文为Certified Information Security Professiona - Penetration Testing Engineer。 CISP-PTE是册渗透测试工程师认证考试,证书持有人主要从事信息安全技术领域渗透测试工作,具有漏洞验证、制定渗透测试方案与测试计划、编写测试用例、实施测试、
韩顺平PHP全套学习笔记
本资源是韩顺平老师的PHP全套学习笔记,涵盖了从HTML基础到PHP高级技术的全面讲解,适合初学者及有一定基础的学习者进阶提升。笔记内容丰富,结构清晰,便于理解和实践。 首先,笔记从HTML基础知识开始,讲解了HTML...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值