小迪安全16 PHP 开发-个人博客项目&JS-Ajax&前端逻辑&购物&登录&上传

最新推荐文章于 2024-10-30 18:24:25 发布
最新推荐文章于 2024-10-30 18:24:25 发布
阅读量1k 收藏 24
点赞数 25
文章标签: javascript 前端 ajax
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_73760178/article/details/135433323
版权

知识点:

1JS前端验证——文件上传

2JS-Ajax传递-登录-状态

3JS-Ajax传递-购物-参数

1.文件上传

代码实现:

<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>文件上传</title>
</head>
<body>
<h1>文件上传</h1>
<form action="" method="post" enctype="multipart/form-data" class="upload">
    //onchange是此上传文件一旦触发就立即进行操作,而checkFileExt(this.value)是获取到此文件的文件名,将值保持到this.value
    <p><input class='uploadfile' type="file" name="upload" onchange="checkFileExt(this.value)"></p>
    <p><input class='sub' type="submit" name="submit" value="开始上传"></p>
</form>
</body>
</html>
<script>
    function checkFileExt(filename)
    {
        var flag=false;//状态
        var arr=["jpg","png","gif"];
        //取出文件名的扩展值
        //lastIndexOf对最后的.进行切割
        var index=filename.lastIndexOf(".");
        //substr截断,进行获取文件后缀名
        var ext=filename.substr(index+1);

        for(var i=0;i<arr.length;i++)
        {
            if(ext===arr[i])
            {
                flag=true;
                alert("上传的文件符合要求!");
                break;
            }
        }
        if(!flag)
        {
            alert("上传的文件不符合要求,请重新选择!");
            Location.reload(true);
        }
    }
</script>
<?php
header("Content-Type:text/html;charset=utf-8");
@$file_name=$_FILES['upload']['name'];
//获取上传文件类型
@$file_type=$_FILES['upload']['type'];
//获取上传文件大小
@$file_size=$_FILES['upload']['size'];
//获取上传文件临时文件名
@$file_tmpname=$_FILES['upload']['tmp_name'];
//获取上传文件是否错误
@$file_error=$_FILES['upload']['error'];

echo $file_name."<hr>";
echo $file_type."<hr>";
echo $file_size."<hr>";
echo $file_tmpname."<hr>";
echo $file_error."<hr>";

if (@$file_error>0){
    echo '上传出错!';
}
else{
    move_uploaded_file(@$_FILES["upload"]["tmp_name"], "./" . @$_FILES["upload"]["name"]);
    echo "文件存储在: " . "./" . @$_FILES["upload"]["name"];
}

对其进行后缀的筛选,选择后端语言:PHP/JS

                 二者之间的区别:PHP验证的代码是看不到的 只能采用黑盒测试

                                 JS 验证的代码是可以看到的,可进行白盒测试

用JS进行验证操作

进入网页进行验证操作

通过浏览器的查看源代码即可看出

JS在于浏览器上运行,PHP在于服务端中运行

因此我们可以将浏览器不使用js,即可通过js的验证

现在是不能过的

在火狐里输入about:config进入浏览器管理,禁用js代码(True改为false)

这样就绕过了

补:后端是会受网速影响的,所以可以通过想办法调节网速去判断是不是后端验证

2.状态回显——登录——状态码

  通过Ajax传递数据进行用户登录验证

Ajax:核心为JS,是一种Web数据交互方式——需要进行调用框架

创建登录界面

代码实现:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Ajax登录</title>
</head>
<body>
帐号:<input type="text" class="user">
密码:<input type="password" class="pass">
<button>用户登录</button>

<script src="../js/jquery-1.12.4.min.js"></script>
<script>
    //ajax的请求,对按钮标签设置一个变量,点击时触发一个函数
    $('button').click(function () {
        $.ajax({
            //根据获取类型,分给哪个文件处理,数据类型,数据的接收
            type:'post',
            url:'ajax.php',
            dataType:'json',
            //根据class,进行接收数据
            data:{
                myUname:$('.user').val(),
                myUpass:$('.pass').val()
            },
            success:function (res) {
                //将成功的输出在浏览器中
                //console.log(res);
                if(res.infoCode===1){
                    alert('登录成功');
                }else{
                    alert('登录失败');

                }
            }
        });

    });





</script>

</body>
</html>

Ajax实现:

<?php
/**
 * Created by PhpStorm.
 * User: xiaodi
 * Date: 2022/1/1
 * Time: 12:17
 */

$username=$_POST['myUname'];
$password=$_POST['myUpass'];
$success=array('msg'=>'ok');
if($username=='xiaodi' && $password=='123456'){
    $success['infoCode'] = 1;//1为成功,0为失败
}else{
    $success['infoCode'] = 0;
}
echo json_encode($success);

根据infoCode进行判断是否登录成功

infoCode等于0时:

infoCode等于1时:

Ajax是利用浏览器进行识别验证,

为此我们可以通过抓包进行获得数据,进行修改

捕获响应包操作

对其infoCpde参数进行更改

绕过成功

JS Ajax

即:请求->返回->读取返回的数据->JS Ajax代码进行解析->结果

当我们进行登录时,浏览器发送请求包,并得到一个响应包,然后浏览器会根据这个响应包进行判断,然后Ajax代码解析,最后弹出结果

Php

请求->返回->返回结果(服务器不会搭理任何人)

小技巧:

在进行前端验证时,可以进行打包封装调用,将JS Ajax隐藏起来

绕过是针对JS等代码来决定成功或者失败,如果使用js来进行数据传输,则不好确定

3.参数修改-购物

设计:通过 Ajax 传递数据进行购物验证

设计 1:商品价格以前端设置价格为准,数据接收价格后运算

设计 2:商品价格以数据库对应价格为准,数据接收价格后运算

设计 3:商品价格以数据库对应价格为准,数据只接受数量后运算

设计 4:商品价格以数据库对应价格为准,数据只接受数量后做过滤运算

设计1:

代码实现:

  网页实现

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
    <img src="iphone.jpg" width="270" height="270" alt=""><br>
价格:8888 <br>
数量:<input type="text" class="number">
<button>购买</button>
<script src="js/jquery-1.12.4.min.js"></script>
<script>
    //ajax的请求,对按钮标签设置一个变量,点击时触发一个函数
    $('button').click(function () {
        $.ajax({
            //根据获取类型,分给哪个文件处理,数据类型,数据的接收
            type:'post',
            url:'shops.php',
            dataType:'json',
            //根据class,进行接收数据
            data:{
                price:8888,
                number:$('.number').val()
            },
            success:function (res) {
                //将成功的输出在浏览器中
                //console.log(res);
                if(res.infocode==1){
                    alert('购买成功')
                }else{
                    alert('购买失败')

                }
            }
        })

    })





</script>

</body>
</html>

Ajax文件: 引用参数,对其验证——这里是一个固定的数值,在前端里

<?php
header("Content-Type:text/html;charset=utf-8");
$success=array('msg'=>'ok');
$price=$_POST['price'];
$num=$_POST['number'];
$m=$price*$num;

if($m<10000){
    $success['code']=1;
}else{
    $success['code']=0;
}

echo json_encode($success);



?>

      方法一:.因为是以Ajax搭建的网站,所以可以进行修改参数的操作

抓取响应包

修改参数,将infocode改为1

绕过

   方法二:如果是以前端的数据为参照(提前设置好的价格)则直接进行数据修改

设计2:绑定数据库

代码实现:

<?php
include ('config.php');
header("Content-Type:text/html;charset=utf-8");
$sql="select * from shop where id=1";
$result=mysql_query($sql,$con);
while($row=mysql_fetch_array($result)){
    echo '<br><br><hr>';
    $price=$row['price'];
    $imgsrc=$row['imgsrc'];
    echo "<img src='$imgsrc' width='270' height='270' alt=''><br>";
    echo "价格:$price <br>";
    echo "数量:<input type='text' class='number'>";
    echo "<button>购买</button>";
}

?>



<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
<script src="js/jquery-1.12.4.min.js"></script>
<script>
    //ajax的请求,对按钮标签设置一个变量,点击时触发一个函数
    $('button').click(function () {
        $.ajax({
            //根据获取类型,分给哪个文件处理,数据类型,数据的接收
            type:'post',
            url:'shops.php',
            dataType:'json',
            //根据class,进行接收数据
            data:{
                price:<?php echo $price?>,
                number:$('.number').val()
            },
            success:function (res) {
                //将成功的输出在浏览器中
                //console.log(res);
                if(res.infocode==1){
                    alert('购买成功')
                }else{
                    alert('购买失败')

                }
            }
        })

    })





</script>

</body>
</html>

数据库文件

<?php
$con=mysql_connect('localhost','root','123456');
mysql_select_db('guestbooke',$con);
?>

Ajax文件

<?php
$success=array('msg'=>'ok');
$p=$_POST['price'];
$n=$_POST['number'];
$money=10000;

if($p*$n<10000){
    $success['infocode']=1;
}
else{
    $success['infocode']=0;
}
echo json_encode($success);

注意:在进行前端渗透时,需要看前端的参数是否影响判断验证数据(找关键的),如果有,则可通过前端进行更改参数,从而达到绕过

在设计2中,看似对数据进行绑定,但是并没有对判断的数据进行绑定,所以这个时候的绑定是面子功夫

它是验证数据Ajax文件,还是以前端的方式进行验证,因此,同理绕过

设计3:固定好价格,运算

Ajax文件:将price值改为常数

<?php

$success = array('msg' => 'ok');
//连接数据库,取出价格后进行运算

$n = $_POST['number'];
$money = 10000;

if (8877 * $n < 10000) {
    $success['infocode'] = 1;
} else {
    $success['infocode'] = 0;
}
echo json_encode($success);

虽说,把价格固定好了,但是数量没有进行固定,所以可以通过修改数量进行绕过

设计4:即把数量也进行限制。

yiqiqukanhaiba
关注
php个人博客系统
06-01
个人博客系统 可作为期末大作业来使用
php项目个人博客
weixin_33860722的博客
05-25 764
链接地址:田超的博客源码放在:github 介绍: 学习php语言做的练习,由最初的一个留言板拓展到现在,还将持续更新中…… 工具 1,MacOS Sierra2,phpstorm3,mamp pro 主要技术构成 前端:bootstrap 后端:php+mysql 博客功能 前台页面: 1,文章目录归档2,文章标题搜索3,留言版4,说...
PHP个人博客项目------切切歆语博客
weixin_33754913的博客
03-27 295
2019独角兽企业重金招聘Python工程师标准>>> ...
php+mysql个人博客系统
12-21
基于php7.0和mysql的个人博客系统,可以参考参考。如果需要数据库信息或者QQ
03 php 第18天 BLOG第4天(1)
fly
08-17 210
学习目标 首页管理 列表页管理 内容页管理 文章归档 友情链接 文章搜索 用户点赞 阅读数增加 前台首页管理 1、准备工作 将前台视图文件,复制到 Home\View\Index目录中 将前台的静态资源文件(图片、CSS、JS),复制到 Public\Home目录中 修改视图文件的静态资源路径 2、前端配置文件:./Home/Conf/Config.php...
laravel-react-blog:laravel5.2&reactJs实现的个人博客,包括前后台,可评论,前后端分离
05-19
**laravel-react-blog** 是一个基于 Laravel 5.2 和 ReactJS 实现的个人博客系统,它充分展示了现代Web开发中的前后端分离理念。Laravel 作为后台框架,提供了强大的路由控制、数据库交互以及模板引擎等功能,而 ...
第34章 项目1-博客前端:封装库--Ajax注册1
08-03
在本章节中,我们将探讨如何在前端开发中利用Ajax技术来改进用户注册流程,从而提供更优秀的用户体验...同时,前端开发者可以通过调整CSS样式和JavaScript逻辑,进一步优化交互体验,比如添加错误处理、进度条显示等。
PHP实例开发源码-开源php个人博客系统 XKLog.zip
11-22
PHP实例开发源码-开源php个人博客系统 XKLog.zip】是一个包含PHP源代码的压缩包,用于构建一个开源的个人博客系统。这个系统名为XKLog,它为用户提供了一个平台来发表文章、管理评论和个人资料,同时也允许访客...
ecommerce_project:远程电子商务后端存储库,前端和后端(PHP和MySQL)的模型开发,以及模型-vista-controlador(MVC)和AJAX
03-07
这是一个关于构建电子商务网站的项目,主要使用PHP编程语言和MySQL数据库进行后端开发,并结合了前端的Model-View-Controller(MVC)架构和AJAX技术。以下是对这些知识点的详细解释: 1. **电子商务(E-commerce)*...
crud-php-ajax.zip_ajax php_crud php ajax_php ajax
09-24
此外,为了适应不同的浏览器和设备,应考虑使用现代的前端框架,如jQuery,Vue.js或React,它们提供了更方便的API来处理AJAX请求和DOM操作。 总之,"crud-php-ajax.zip"项目是一个实用的学习资源,它演示了如何结合...
张帅个人博客开源项目:HTML+CSS+MySQL+PHP制作自己的个人博客网站
11-12
项目使用php编写后台,前台功能基本完善,有顶部菜单和侧栏菜单底部菜单,支持首页展示功能,文章功能,文章包括列表显示和单篇文章显示功能,分页分类显示功能,友链添加功能,用户评论功能,相册功能,关于我页面,留言版功能,支持文章页下评论和已有评论的预览及引入QQ头像显示功能,用户未填写则默认显示,还有慢生活,包括扩展的更多功能,可登录后台,打赏作者,发送邮件功能(邮件可以发送),友情链接的显示,等待扩展功能,拥有后台结构编写完成,文章发布删除添加修改,评论区的删除审核,友链的添加删除审核,系统日志功能记录了
个人博客php源码完整版
08-24
个人博客-wordpress-php源码完整版,wordpress平台
个人博客php简单前后台
07-10
简单博客前台后台,可用于THINKPHP简单模板的套用,简单实用
django--个人博客项目
一岁一骷髅的博客
08-15 280
1.新建blog项目: 创建app01分项: 添加urls.py文件 from app01 import views 注册app01 , path('app01/' include('app01.urls')) 添加static文件夹并导入前端文件,在外部也新建static文件夹 settings文件中添加:STATICFILES_DIRS=[os.path.join(B...
028-安全开发-JS应用&原生开发&JQuery库&Ajax技术&前端后端&安全验证处理
wushangyu32335的博客
01-31 1443
小迪安全2023笔记
PHP Web应用开发 -用PHP实现简单的个人博客网站
czh2637750821的博客
12-11 5197
文章目录题目一、项目简介二、需求分析三.总体设计四. 详细设计五、运行测试六、 总结 题目 题目:用PHP实现一个贴吧的网站 一、项目简介 能够实现用户注册登录发帖会贴的功能。 二、需求分析 (1)统一友好的操作界面。具有良好的用户体验。 (2)只有管理员账户才有权限删除一切用户发的贴子。 (3)个体用户没有权限删除其他用户的帖子只能删除或改编自己的贴子 (4)发贴必须选择发贴类型,这样系统好完成分分类。 (5)回复帖子的内容所有用户可见。 三.总体设计 (1)系统框架 (2)数据库设计 (3)主要
基于PHP+mysql的个人博客系统
QQ177825331的博客
10-23 1707
但是在大平台下的个人博客系统都是模板化的,更多的用户是追求的个性化的个人博客系统。2. 个人博客后台管理:由会员用户(可以设多人)和管理员(一名)可以进入,并在后台写日志发表说说等,管理员还能对博客的模块进行设定,发表照片,管理一切博客的秩序,拥有最高的权限,会员则只能设定自己的模块和信息。(4) 基本设置:管理员和会员可以根据自己的情况在后台更改填写自己的个人材料,管理员还能在这里设定博客的名字和对博客的描述以便展示给游客看。(2) 日志显示:游客可以浏览到的用户和管理员发表的日志,并能发表自己看法。
【毕业设计 大作业高分项目】html+php实现个人博客网站
热门推荐
w0714的博客
07-01 4万+
当初上课的时候一共写了两个版本的个人博客,她挑了上一篇的,那这一篇就是我的啦。 运行展示 运行环境 APMServ 5.2.6 for Windows 2000/XP/2003 个人博客功能说明 未登录用户: 仅可以浏览所有博客的内容。 已登录用户: 1、浏览所有博客的内容 2、发表博客 3、删除自己的博客 4、修改自己的博客 5、在任一博客下评论 6、修改昵称和密码 管理员: 1、可以执行普通用户的所有功能 2、修改任一博客的内容 3、删除任一博客 4、删除任一用户 网站平台功能补充说明 1、动态显示博
CesiumJS 案例 P12:添加指定长宽的图片图层并居中显示(圆点分别为图片图层的中心点、左上角顶点、右上角顶点、左下角顶点、右下角顶点)
最新发布
weixin_52173250的博客
10-30 851
CesiumJS 案例 P12:添加指定长宽的图片图层并居中显示(圆点分别为图片图层的中心点、左上角顶点、右上角顶点、左下角顶点、右下角顶点)
Php-Ajax应用程序架构详解
AJAX(Asynchronous JavaScript and XML)允许页面在不重新加载整个页面的情况下与服务器进行通信,提升了用户体验。而PHP则是一种广泛使用的服务器端脚本语言,常用于处理数据和生成动态网页内容。 **浏览器端框架...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值