6.php开发-个人博客项目&Tp框架&路由访问&安全写法&历史漏洞

目录

知识点

php框架——TP

URL访问

Index.php-放在控制器目录下

?编辑

Test.php--要继承一下

带参数的——————

加入数据库代码

--不过滤

--自己写过滤

--手册（官方）的过滤

用TP框架找漏洞：

如何判断网站是thinkphp？

黑盒：

白盒：

php总结

---

---

?

知识点

1-基于TP框架入门安装搭建使用

2-基于TP框架内置安全写法评估

3-基于TP框架实例源码安全性评估

?

---

?

php框架——TP

（写法看官方，看手册）

thinkphp官网：

https://www.thinkphp.cn/

(yellow---多TP框架开发)

?

---

?

URL访问

文件/目录/控制器/方法

文件/目录/控制器/方法.html (要看具体配置支不支持)

文件?s=index/控制器/方法

index.php/index/Index/index

ThinkPHP 5.0 在没有启用路由的情况下典型的  URL访问规则是：
?
http://serverName/index.php（或者其它应用入口文件）/模块/控制器/操作/[参数名/
?
?


http://localhost/index.php/Index/Blog/read
            
// 和下面的访问是等效的
?
http://localhost/index.php/index/blog/read

--用别的文件需要继承一下——extends Controller

Index.php-放在控制器目录下

<?php
namespace app\index\controller;
?
class Index
{
 ? ?public function index()
 ?  {
 ? ? ? ?echo 1;
 ? ? ? ?//return '<style type="text/css">*{ padding: 0; margin: 0; } .think_default_text{ padding: 4px 48px;} a{color:#2E5CD5;cursor: pointer;text-decoration: none} a:hover{text-decoration:underline; } body{ background: #fff; font-family: "Century Gothic","Microsoft yahei"; color: #333;font-size:18px} h1{ font-size: 100px; font-weight: normal; margin-bottom: 12px; } p{ line-height: 1.6em; font-size: 42px }</style><div style="padding: 24px 48px;"> <h1>:)</h1><p> ThinkPHP V5<br/><span style="font-size:30px">十年磨一剑 - 为API开发设计的高性能框架</span></p><span style="font-size:22px;">[ V5.0 版本由 <a href="http://www.qiniu.com" target="qiniu">七牛云</a> 独家赞助发布 ]</span></div><script type="text/javascript" src="https://tajs.qq.com/stats?sId=9347272" charset="UTF-8"></script><script type="text/javascript" src="https://e.topthink.com/Public/static/client.js"></script><think id="ad_bd568ce7058a1091"></think>';
 ?  }
 ? ?public function kk()
 ?  {
 ? ? ? ?echo 123;
 ?  }
}

Test.php--要继承一下

带参数的——————

文件/目录/控制器/方法?x=1

文件/目录/控制器/方法/x/1

?

---

?

加入数据库代码

——配置数据库--config.php 和 database.php

--不过滤

--自己写过滤

--手册（官方）的过滤

——按照手册写法，也不能注入——说明人家已经有过滤了

--34，49,50行都会过滤

————分析代码写法，如果都是按照手册（官方）的写法，————其实就是在找框架的漏洞。

————分析程序的漏洞——是否按照官方写，框架本身有没有漏洞。

————面对框架 还是面对人~~~

?

---

?

用TP框架找漏洞：

——1-看写法 (是否按照官方)

——2-看历史漏洞--版本！ （THINK_VERSION)

THINK_VERSION

————根据版本看漏洞！

框架--简单容易上手--安全--难绕过

?

---

?

如何判断网站是thinkphp？

黑盒：

--看审查元素 看返回的数据包，X-Powered By

--指纹搜索

--报错信息 url地址，

插件：Wappalyzer 判断TP

白盒：

看源码配置文件 --版本--写法

?

---

?

php总结