xiaodisec day017
学习了PHP框架,重点讨论了ThinkPHP、Yii和Laravel。ThinkPHP5的URL结构为域名/.php/模块/控制器/方法。MVC模式用于框架开发。注意3.x版本的地址格式。讨论了命名空间和SQL注入,框架能提供内部过滤。审计了多个使用ThinkPHP的CMS,如EyouCMS、Fastadmin等,并提到了ZoomEye和Seebug作为搜索漏洞的工具。通过黑盒测试和报错信息可识别框架版本,如Fastadmin和YFCMF。还提到了ThinkPHP的rec漏洞及修复方法。
xiaodisec day016
Day16 概要:讨论了前端JS验证和PHP验证的区别,JS验证易被浏览器禁用,而PHP验证是黑盒。重点讲解了AJAX登录状态回显,通过抓包响应判断登录成功。购物案例分析了四种价格处理方式,强调前端价格可被篡改,后端应严格校验数量或直接获取数据库价格以确保安全。
xiaodisec day014
Day 14 概要:学习PHP全局变量`$_SERVER`和MySQL的`INSERT`语法。讨论了HTML表单提交、PHP连接数据库及使用`LIKE`进行模糊查询。了解了PHP的连接符号`.`及XSS风险,如输入JavaScript代码可能导致执行。视频展示了创建留言板。讨论了存储型和反射型XSS,举例说明了JS代码如何在搜索执行或存储后触发。`$_SERVER`变量用于获取访问信息,如通过`HTTP_REFERER`获取请求来源和分析IP请求中的`X-FORWARDED`头信息。
【PHP开发专栏】PHP分页功能的设计与实现
【4月更文挑战第29天】本文介绍了PHP实现分页功能,包括设计逻辑(用户界面和后端处理)、SQL查询优化和前端展示。后端通过计算页码和偏移量进行数据查询,前端展示分页信息并处理用户交互。优化点有使用索引、LIMIT语句和避免子查询。此外,还提到了无限滚动、AJAX分页和分页大小选择等高级功能,以提升用户体验。
【PHP开发专栏】PHP安全编程与防护
【4月更文挑战第29天】本文介绍了PHP安全编程的基础和常见漏洞防护,强调了输入验证、输出编码、错误处理、会话管理及文件上传的安全措施。同时,提到了SQL注入、XSS、CSRF等防护策略。建议遵循最小权限原则,定期进行代码审查,确保安全配置,并对开发人员进行安全培训。通过备份和恢复计划,以及实时监控,可提升PHP应用的安全性,抵御网络攻击,共创安全的网络环境。
【PHP开发专栏】PHP框架中的路由与中间件
【4月更文挑战第29天】本文探讨了PHP框架中的路由和中间件概念。路由负责将HTTP请求映射到控制器方法,提供灵活的请求处理和URL管理。中间件则是在请求处理前后插入的代码,用于实现如身份验证、日志等功能,与业务逻辑解耦。通过Laravel框架的示例展示了如何定义路由和创建中间件,以实现代码的模块化和可维护性。
深入理解PHP中的命名空间
【4月更文挑战第26天】在现代PHP开发中,命名空间是避免命名冲突和提升代码组织性的重要工具。本文将详细探讨PHP命名空间的核心概念、使用方法以及在实际开发中如何高效地应用它们。通过本文,读者将能够掌握命名空间的基本用法,理解其在项目中的重要作用,并学会如何在自己的代码库中有效地使用命名空间来提高代码的可维护性和可读性。
深入理解PHP的命名空间
【4月更文挑战第25天】
在现代PHP开发中,命名空间是管理代码和避免命名冲突的重要工具。本文将深入探讨PHP命名空间的概念、实现原理及其在实际开发中的应用。我们将通过具体示例,理解如何使用命名空间来组织代码,并讨论其对自动加载机制的影响。文章的目的是帮助开发者更高效地利用命名空间特性,以编写更加模块化和易于维护的PHP代码。