1> mixed parse_url ( string $url [, int $component = -1 ] )
今天老蒋整理ZBLOG PHP调用代码文章较多,主要是把本地常用的一些代码整理到博客中,这样以后在使用的时候可以直接复制,省的每次需要用的时候再在本地的其他主题中寻找。我们在制作博客主题的时候内容页面、侧边栏或者底部栏会用到TAG标签的调用,以及在文章列表中可能会用到文章摘要,这样就省的我们在撰写文章的时候手工设置摘要,还可以统一控制截取的字数数量。
现在很多IP的接口api很多我例举几个常用的出来: http://int.dpool.sina.com.cn/iplookup/iplookup.php //新浪 http://ip.ws.126.
大家都知道,不同字符编码,其在内存占用的字节数不一样。如 ASCII编码字符占用1个字节,UTF-8编码的中文字符是3字节,GBK为2个字节。
WarmUp1:https://buuoj.cn/challenges#[HCTF%202018]WarmUp
$b = mb_strpos($str,$begin) + mb_strlen($begin);
要注意的是,在chrome以外的浏览器中,使用摄像头或多或少会出现一些问题,可能也是老问题了,所以以下代码主要基于chrome使用
PHP默认支持按值传递参数,按此种方式定义的函数,在函数内部可以睡衣对用户传递的参数进行操作。
RCE(Remote code execution)远程代码执行漏洞,RCE又分命令执行和代码执行。
本次教程来自YanXia,转载请注明作者信息,博客地址http://www.535yx.cn,感谢
大家好,我们是红日安全-代码审计小组。最近我们小组正在做一个PHP代码审计的项目,供大家学习交流,我们给这个项目起了一个名字叫 PHP-Audit-Labs 。现在大家所看到的系列文章,属于项目 第一阶段 的内容,本阶段的内容题目均来自 PHP SECURITY CALENDAR 2017 。对于每一道题目,我们均给出对应的分析,并结合实际CMS进行解说。在文章的最后,我们还会留一道CTF题目,供大家练习,希望大家喜欢。下面是 第5篇 代码审计文章:
-----------------------------------------------------------------------------------------
在编写代码的时候有个神奇的汇总是好的!下面这里收集了 10+ PHP 代码片段,可以帮助你开发 PHP 项目。这些 PHP 片段对于 PHP 初学者也非常有帮助,非常容易学习,让我们开始学习吧~
lastIndexOf() 方法返回调用 String 对象的指定值最后一次出现的索引,在一个字符串中的指定位置 fromIndex 处从后向前搜索。如果没找到这个特定值则返回-1 。
很多地方填信息都需要填上域名的备案号,每次使用都得: 搜索备案查询-点开链接-输入域名-(有些站点还需要输入验证码)-获取到备案号-复制出来。 这样的方法太过于繁琐,我就尝试搜索了一下域名备案AP
用户的ip可以用x-forwarded-for来伪造,然后把ip存储到数据库中去,对ip没有进行任何过滤,存在注入,但是有一个限制就是: 用‘,’逗号对ip地址进行分割,仅仅取逗号前面的第一部分内容。
如果熟悉其他 PHP 平台的 CMS 系统的话,那么我们会发现 emlog 的插件制作过程是多么的暴力和简单。
/*-----------------实现1--------------------*/ function getPar(par){ //获取当前URL var local_url = document.location.href; //获取要取得的get参数位置 var get = local_url.indexOf(par +"="); if(get == -1){ return false; } //截取字符串
爬虫很多,可以试着自己整一个。 三言两语,走出第一步。 首先浏览器打开某吧登录页面 http://www.******.com/member.php?mod=logging&action=login
id为1,2时,可以分别得到一句话。id为0时,显示error,可能是因为结果为空集。
文章目录 一、warmup 二、使用步骤 1.点击获取在线场景 2.进入页面 总结 ---- 一、warmup 题目链接:https://adworld.xctf.org.cn/task/task_l
由于此类问文章首发地址为该微信公众号,后期会不断更新,微信公众号不便于更新,可以点击左下角的阅读原文按钮,即可查看最新版本。
在 Spider 类中,定义一个用于解析网页的方法 parse_page(),分别使用 re 模块、lxml 和 bs4 库进行实现。
1、addslashes addslasehes($string) 对字符串进行编译转义 应用场景:能防止sql的注入(当然并不完全是可以,我们可以使用pdo进行预处理然后方式sql的注入,安全不能只靠一种方式防止事情的发生) 2、echo ,print,printf,number_format 1)echo是语言结构体,不是函数,没有返回值,能输出多个值 for example:echo $a,$b 应用场景:输出一些字符串 2)print是一个函数,它只有一个参数,有返回值,不能输出对象和数组 应用场
利用Javascript获取当前页的URL,这个问题起来好像很复杂,如果第一次去想这个问题,很多人估计又在琢磨到底又是哪个神一般的Javascript函数。
Extractvalue:对xml文档进行查询 语法:extractvalue(文档类型,xpath路径)
PHP对Base64的支持非常好,有内置的base64_encode与base64_decode负责图片的Base64编码与解码。
大家好,又见面了,我是你们的朋友全栈君。 重定向学习视频 https://www.imooc.com/learn/798 1、RewriteRule R 说明 RewriteRule ^/?(.
想关注你的爱豆最近在娱乐圈发展的怎么样吗?本文和你一起爬取娱乐圈的排行榜数据,来看看你的爱豆现在排名变化情况,有几次登顶,几次进了前十名呀。
应用场景:能防止sql的注入(当然并不完全是可以,我们可以使用pdo进行预处理然后方式sql的注入,安全不能只靠一种方式防止事情的发生)
我在adworld上发现有这个题目的环境,然后觉得还挺有意思的于是仔细做了做,顺带写一篇博客记录一下踩坑过程。
刚看到@风也温柔关于typecho永久链接的文章,也想给自己博客的链接结构修改一下,变得更简洁一点。 感谢@风也温柔大佬提出的解决方案。 本文章部分内容来自:https://eas1.cn/167.html 本文章讲解将链接结构从https://blog.zeruns.tech/index.php/archives/{cid}/修改为https://blog.zeruns.tech/archives/{cid}.html,其他链接结构修改方法可参考上面的链接,@风也温柔的文章没有讲这种链接结构的修改方法,我就补充一下。
在网站的开发过程中,常常需要对部分数据(如用户密码)进行加密,本文主要介绍PHP的几个常见的加密函数
问题产生的背景:之前发布过一篇福利文限时|免费领WPS稻壳会员 文章中涉及到了需要跳转到wps官方公众号去。
字符串比较(字节序): 字节序比较可以使用strcmp/strcasecmp两个函数,只需传入两个字符串即可.
接收前端传过来的base64编码后的字符串, 如果是json字符串, 那么PHP使用file_get_contents('php://input'); 来接收. 本次这里是以post传参的形式传base64字符串.
【thinkphp】app接口签名+验证签名 app接口签名+验证签名 比较简单 求各位大牛指教 IndexController.class.php <?php namespace Home\Cont
获取表名可以使用innodb_index_stats,mysql5.5版本级以上,默认使用Innode作为存储引擎。
代码审计顾名思义就是检查源代码中的缺点和错误信息,分析并找到这些问题引发的安全漏洞,并提供代码修订措施和建议。PHP代码审计审计套路通读全文法 (麻烦,但是最全面)敏感函数参数回溯法 (最高效,最常用)定向功能分析法 (根据程序的业务逻辑来审计)初始安装信息泄露文件上传文件管理登录认证数据库备份恢复找回密码验证码越权注入第三方组件CSRF,SSRF,XSS......审计方法1.获取源码2.本地搭建调试可先使用扫描器识别常见传统漏洞,验证扫描器结果,手动正则3.把握大局对网站结
三、用Backtrack 5 R1中的W3AF(Web应用扫描器或者叫做安全审计工具)
即服务器端请求伪造(Server-Side Request Forgery),是一种网络攻击技术,攻击者利用服务器上的应用程序向任意服务器发起请求或者操作,这些请求可能包括但不限于文件读取、命令执行、端口扫描等。由于这些请求是从服务器内部发起的,因此他们可以绕过服务器的外部访问控制,访问内部网络资源或者执行恶意操作。
代码审计顾名思义就是检查源代码中的缺点和错误信息,分析并找到这些问题引发的安全漏洞,并提供代码修订措施和建议。
代码审计中遇到的一些绕过addslashes的案例 From ChaMd5安全团队核心成员 无敌情痴 MMMMM叫我写一篇文章发到公众号,然而我是ChaMd5安全团队第一弱的大菜逼,于是就写篇基础的审计文章,在实际情况中,会出现各种各样的绕过防注入的手法,我这里只是列举了我在实际审计中遇到的比较常见的绕过方法。 前段时间审计过不少PHP开源系统,而很多PHP开源系统针对sql注入都喜欢用addslashes来防止注入,也就是把’ “ %00 这些符号转义在前面加个\。 根
PHP加密和解密函数可以用来加密一些有用的字符串存放在数据库里,并且通过可逆解密字符串,该函数使用了base64和MD5加密和解密。
原文:http://blog.adm1nkyj.kr 译者:欧巴@知道创宇404实验室 简 介 Gnuboard是韩国Sir公司开发一套PHP+Mysql CMS程序。 本身数据结构简单,可扩展性能强,程序运行代码与皮肤文件分离,可扩展数据字段多,可以进行多种功能转变,简单安装就可以作为BBS告示板使用,也可以下载皮肤插件变成 综合网站,地方信息,购物,人才市场,物品交易网站。 Gnuboard stored xss 之前记录的一个漏洞,漏洞触发点比较有趣,而且威胁也大,所以就发到博客。 首先看一下 i
本章主要介绍常见的 PHP 笔试 + 面试题,包括: ---- 基础及程序题 数据库技术题 综合技术题 项目及设计题 ---- 基础及程序题 [1] 写一个排序算法,可以是冒泡排序或者是快速排序,假设待排序对象是一维数组(不能使用系统已有函数)(C/C++、PHP、Java) 假设以下的排序都是从小到大排序 C++ 实现冒泡排序 #include <iostream> void bubbleSort(int arr[], int n) // n 为数组大小 { for (int i =
领取专属 10元无门槛券
手把手带您无忧上云