preg_filter()等价于preg_replace()除了它仅仅返回(可能经过转化)与目标匹配的结果.
preg_filter()等价于preg_replace(),但它仅仅返回与目标匹配的结果。
很多小伙伴在学习php中,正则表达式是一道过不去的坎,初学者在看到正则表达式的复杂符号时,总会一头雾水,丈二的和尚摸不着头脑,冷月在刚刚开始学习正则表达式时也是一头懵。不过,冷月会用由浅入深的讲解正则表达式的基础和简单实战,相信大家看完这篇文章时,会有一定的收获。废话不多说,开启正则表达式的学习吧!let's go!
正则表达式的作用想必不用我多说了,大家在日常的开发中或多或少都会接触到。特别是对于一些登录(邮箱、手机号)以及网页爬虫来说,正则表达式就是神器一般的存在。在 PHP 中,有两种处理正则表达式的函数,今天我们就来学习其中的一种。
本文主要介绍了 PHP 正则表达式相关的函数。 官方文档:http://php.net/manual/zh/ref.pcre.php int preg_match($pattern, $subject, [ array &$matches ]) int preg_match_all($pattern, $subject, array &$matches) 返回匹配到结果的次数。 preg_replace($pattern, $replacement, $subject) preg_filter($patt
不知道你们有没有这个感觉,看正则表达式就像看天文数字一样,什么电话号码、邮箱的正则表达式,上网复制一下粘贴下来就搞定了。完全不知道这写的是什么玩意。后来我自己也想学一下,因为感觉用处还是挺大的。看了看视频,额...真**简单。这里的话如果想看视频学习的话我推荐一下慕课网这门鬼斧神工之正则表达式课程,上手真的太快了。好了,废话不多说,开始搞事情。
想要在计算机语言中使用正则表达式,那么这门计算机语言必须要利用正则引擎去实现相应的正则库。主要的正则引擎分为以下两类:
虽然进行了变形,但是还是被检测出来了4级,这个变形也是比较鸡肋,所以可以配合其他的php函数进行变形
命令执行类的风险函数(如eval,system,exec等),可以用于执行代码或运行系统命令。如果外界参数未经过妥善的过滤处理,进入了这类函数,则可能造成远程任意命令执行的风险。比如如下代码就存在此类风险:
最近很多人分享一些过狗过盾的一句话,但无非是用各种方法去构造一些动态函数,比如_GET['func'](_REQUEST['pass'])之类的方法。万变不离其宗,但这种方法,虽然狗盾可能看不出来,但人肉眼其实很容易发现这类后门的。
冰蝎简单说就是利用动态二进制加密实现新型一句话木马的客户端 , 相对于菜刀和蚁剑他的数据是加密传输的,所以不容易被一些防火墙发现。
早上看了一位小伙伴在公众号发的文章《php 后门隐藏技巧》,写的挺好,其中有一些姿势是我之前没见到过了,学到很很多。同时,这篇文章也引发了自己的一点点思考:“ PHP 后门的关键点在哪里?”,也欢迎上篇文章的作者、其它小伙伴一起来讨论。
简介 WebShell的变形技术与各种防护软件的检测方法一直都在相互对抗,本篇文章就对目前常见的WebShell的变形技术进行总结。 目前的防护软件对能够执行命令函数和能够执行代码的函数都会格外的敏感,如eavl、assert、system、popen、shell_exec,所以像最为简单的eval($_POST[cmd])的一句话就一定会被查杀。所以目前的变形的本质都在于如何隐藏自己的敏感函数。 巧用$GPC 利用$GLOBALS @eval($GLOBA
简介 WebShell的变形技术与各种防护软件的检测方法一直都在相互对抗,本篇文章就对目前常见的WebShell的变形技术进行总结。 目前的防护软件对能够执行命令函数和能够执行代码的函数都会格外的敏感,如eavl、assert、system、popen、shell_exec,所以像最为简单的eval($_POST[cmd])的一句话就一定会被查杀。所以目前的变形的本质都在于如何隐藏自己的敏感函数。 巧用$GPC 利用$GLOBALS @eval($GLOBALS['_POST'
preg_filter 执行正则表达式搜索和替换 preg_grep 返回匹配模式的数组条目 preg_last_error 返回最后一个正则执行产生的错误代码 preg_match_all 执行一个全局正则表达式匹配 preg_match 执行一个正则表达式匹配 preg_quote 转义正则表达式字符 preg_replace_callback_array 执行一个正则表达式搜索并且使用一个回调函数进行替换 preg_replace_callback 执行一个正则表达式搜索并且使用一个回调进行替换 preg_replace 执行一个正则表达式的搜索和替换 preg_split 通过一个正则表达式分隔字符串
确定需求是最重要的事情,没有挨过打产品经理应该深有体会,挨过打的产品经理体会更深。作为一个想要自我实现某些琐碎功能代替手工的小菜,更要珍惜自己的时间。
本文章仅供学习交流使用,文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!
WordPress 自身有一个强大的 HTML 标签过滤系统,会导致在文章和评论中插入的 PHP、CSS、HTML、JS 等代码直接消失,因此需要将code或pre内的符号标签编码转义为 HTML 实体。
不知道是从哪里来的垃圾评论,可能是谷歌来的吧,天天给我评论英文、俄文、乱七八糟的语言,本博客不但有邮件提醒还有Server 酱的提醒,到处都提醒,所以很烦的。今天我要干掉一部分垃圾评论 1. 在 WordPress 后台“设置” > “讨论” > 评论黑名单中添加相应的垃圾评论关键词即可。如在黑名单中添加“信用卡”,那么当评论的内容、评论者名称、URL、电子邮件或 IP 地址中包含其中任何关键字(如信用卡)时,系统将会禁止提交到数据库。 WordPress 讨论黑名单 但是即使这样 Server 酱依旧会
前言: 有好多小伙伴在爬虫的时候,或者其他情况下无法精确判断一个字符串是不是一个标准URL链接地址从而很费脑,下面我么看一下怎么判断URL的合法性。 以下代码均为PHP语言代码,但语言都是相通的。 第
未对用户输入进行检查过滤,导致用户输入的参数被应用当成命令来执行。 命令执行漏洞是指应用有时需要调用一些执行系统命令的函数,如:system()、exec()、shell_exec()、eval()、passthru()等函数,代码未对用户可控参数做过滤,当用户能控制这些函数中的参数时,就可以将恶意系统命令拼接到正常命令中,从而造成命令执行攻击。
对O:1:"C":2:{s:4:"name";s:4:"g1ts";s:3:"tar";s:8:"flag.txt";}123这一字符串进行反序列化并不会报错,而是会正常读取到里面的参数
90sec上有人问,我说了还有小白不会用。去年我审计TP的时候留意到的,干脆分析一下代码和操作过程。
有些项目不支持utf8mb4字符,虽然可以转换数据库字符编码,但是原生代码并不支持,表情/特殊符号存入数据库报错,或者项目一遇到版本升级或者打补丁就不行了,各种奇怪的错误。最近有个需求是在存入mysql前把utf8mb4字符替换(过滤),然后剩余的utf8字符存入数据库。
前几天更新 WordPress 最新 4.41 版本之后,发现文章之前的图片暗箱弹出功能没了,而且之前设置好是缩略图尺寸也没了,直接就是最大尺寸。 看了下当前页面图片的源代码,发现变了: ①、很明显多
上一篇文章《PHP 跨站脚本攻击(XSS)漏洞修复方法(一)》写到了 360 修复 XSS 漏洞的插件并不完善的问题,那么这篇文章就来分享一下自己如何写代码修补这个漏洞。 从上一篇文章看出,部署了 360 出的 XSS 修复插件之后,至少还存在 iframe 无法过滤缺憾,是否还有其他纰漏目前还不得而知。 分析一下中国博客联盟和张戈博客已开放的数据入口: ①、中国博客联盟,主要有搜索、后台博客提交等; ②、张戈博客(WordPress),主要是用户评论提交; 所以,本文就已这 2 个入口为例子,来分享 X
wordpress多作者博客可以丰富网站的内容,但同时也会产生一些无关的链接,例如有些投机的人会考虑在文章中随意添加外部链接,如果你不想给这些外部链接传递权重,你需要给这些外部链接加上 rel="nofollw" 属性,如果每个外部链接都需要手工添加,那么会非常麻烦,你可以在当前主题的 functions.php 中添加如下代码,它会给外部链接自动添加 nofollow。
wordpress自带的标签云小工具,可以让我们在适当的页面位置展示我们添加的标签,但默认的标签样式有点难看,我们就在这次的wordpress美化教程中来美化以下吧。
做 wordpress 博客时间长了,总有发帖软件来骚扰,时不时的给你发一组 4 个全英文评论,而且专门挑一篇文章评论。虽然启用了评论审核机制,但是手机总响起垃圾评论提示也让魏艾斯博客很烦。对于这种现
nofollow 标签是神马东东在这里不多说,请自行谷歌。默认的话,WordPress是不会为你的文章的链接添加rel="nofollow"的。如果你需要这么做的话,不必一个个手动添加,直接在主题的funtions .php文件那里加入以下代码就可以自动实现了。 add_filter('the_content', 'auto_nofollow'); function auto_nofollow($content) { //return stripslashes(wp_rel_nofollow($conten
在撰写日志的时候,经常会引用一些外部链接,如果你不想给这些外部链接传递权重,你需要给这些外部链接加上 rel="nofollw" 属性,如果每个外部链接都需要手工添加,那么会非常麻烦,你可以在当前主题的 functions.php 中添加如下代码,它会给外部链接自动添加 nofollow。
所谓过滤,不过是字符串的匹配与替换,这里我们用到的正则匹配替换函数preg_replace(reg,replace,string);,PHPer都清楚,这个函数的关键在于reg的精确度,那么我们就来试试看吧:
题目叫babysqli,刚访问的时候会有一个登录页面,于是我用测了测sql注入,毫无收获。
我们做网站内容,主要还是以文字图片混排来实现的,那么中英文混排的时候,有一个小细节不知道大家注意到没有,就是 WordPress 文章中英文数字间添加空格。一篇排版美观合理的文章,能给访客带来很好的阅读体验,同时可以提高二次回访率;同时搜索引擎在收录、索引文章时,对于文章排版的要求也是存在的,所以做好网站文章的排版是重要的“小细节”。所以今天用纯代码实现WordPress 文章中英文数字间自动添加空格。 对于这种中英文数字间添加空格的调整,不但有助于提升用户体验度,还对于 SEO 有一定好处,搜索引擎蜘蛛也
我们在 WordPress 发表文章的时候,有时会遇到一些特殊的需求,比如把文章中的链接变成可点击,或者过滤掉文章内容 HTML 标签中的某种属性等。
张戈博客很久很久之前转载过一篇关于博客外链跳转的方法(相关文章),后来安装了 Anylink 插件也就没有用到。近来清点插件时,我将 Anylnk 给淘汰了,换成了网上找到的给外链添加 nofollow 的代码。 一、原版代码 //给外部链接加上跳转,将此代码添加到wordpress主题目录的functions.php里面即可 add_filter('the_content','the_content_nofollow',999); function the_content_nofollow($conten
我们可以将POST提交的username后面的单引号转义一下,通过转义使得其和password前面的单引号闭合,将passwod后面的逃逸出来。
对网站发动XSS攻击的方式有很多种,仅仅使用php的一些内置过滤函数是对付不了的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的安全。
pattern为要搜索的模式,可以是字符串或一个字符串数组;replacement是用于替换的字符串或字符串数组;subject是要搜索替换的目标字符串或字符串数组。
上周的asis2016比赛中,有个很特别的题目叫Binary Cloud,而getshell的方法是前段时间的才爆出来的Binary Webshell Through OPcache in PHP 7,在实战环境中比较有趣~(~ ̄▽ ̄)~
在中文、英文、数字之间用空格隔开,观感和阅读上显得更加分明,也就是说整体的排版会更加的好看,但是如果在编写文章的时候去添加,就会显得特别的繁琐和降低编辑或写作效率了,不过为了养成习惯,还是推荐在编写的时候手动添加空格
如果你做SEO,一定会知道图片识需要添加alt属性的。但是手动每次添加还是相对比较麻烦的,尤其是图片较多的文章。所以全百科网花了点时间修改了站外链接添加nofollow的代码来实现判断是否有alt属性并自动添加alt属性,测试后十分完美。
对于每一张图片,都应该认真填写其对应的描述信息。 但有时候发一篇文章,动辄十多张图片,每一张图片逐一添加,工作量很是巨大。但是不填又不利于SEO,所以就有了退而求其次的方案,即对于无alt信息的图片,自动添加当前的标题至图片的alt信息。
大家自行把代码中的关键词与链接换成自己的,需要其他关键词复制那一行代码即可,非常方便,这个方法有个缺陷就是不能控制关键词锚文本次数,只要在文章中出现的关键词不管几次都会加上链接
给大家分享一下WordPress配置SSL以后网页错乱的解决方法,还不会给网站配置SSL证书的可以参考以下文章:给网站添加宝塔面板的免费SSL证书Let’s Encrypt
PHP 静态分析引擎 Exakat 分析了 1900 个 PHP 开源项目,整理了最常用的 100 个 PHP 函数:
在输入账号密码之后进入了profile.php,下面是profile.php的源码:
所以如果我们直接传CTF_SHOW.COM是会被转换成CFT_SHOW_COM的,绕过的话这里要利用它的判定规则,当变量名中存在两个不合法字符时,只转换前面的那一个。[和.并存时,会转换前面的[,而[转换之后恰好为_,从而可以绕过。
这里我看删不掉我就把后门的参数改了,相信改了之后应该也不会被利用了(当然,用其他漏洞还是能看到的,所以一定要防的完善点)
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM
