6.php开发-个人博客项目&Tp框架&路由访问&安全写法&历史漏洞

发布时间:2024年01月25日

目录

知识点

php框架——TP

URL访问

Index.php-放在控制器目录下

?编辑

Test.php--要继承一下

带参数的——————

加入数据库代码

--不过滤

--自己写过滤

--手册(官方)的过滤

用TP框架找漏洞:

如何判断网站是thinkphp?

黑盒:

白盒:

php总结

?

知识点

1-基于TP框架入门安装搭建使用

2-基于TP框架内置安全写法评估

3-基于TP框架实例源码安全性评估

?

?

php框架——TP

(写法看官方,看手册)

thinkphp官网:

https://www.thinkphp.cn/

(yellow---多TP框架开发)

?

?

URL访问

文件/目录/控制器/方法

文件/目录/控制器/方法.html (要看具体配置支不支持)

文件?s=index/控制器/方法

index.php/index/Index/index

ThinkPHP 5.0 在没有启用路由的情况下典型的  URL访问规则是:
?
http://serverName/index.php(或者其它应用入口文件)/模块/控制器/操作/[参数名/
?
?


http://localhost/index.php/Index/Blog/read
            
// 和下面的访问是等效的
?
http://localhost/index.php/index/blog/read

--用别的文件需要继承一下——extends Controller

Index.php-放在控制器目录下

<?php
namespace app\index\controller;
?
class Index
{
 ? ?public function index()
 ?  {
 ? ? ? ?echo 1;
 ? ? ? ?//return '<style type="text/css">*{ padding: 0; margin: 0; } .think_default_text{ padding: 4px 48px;} a{color:#2E5CD5;cursor: pointer;text-decoration: none} a:hover{text-decoration:underline; } body{ background: #fff; font-family: "Century Gothic","Microsoft yahei"; color: #333;font-size:18px} h1{ font-size: 100px; font-weight: normal; margin-bottom: 12px; } p{ line-height: 1.6em; font-size: 42px }</style><div style="padding: 24px 48px;"> <h1>:)</h1><p> ThinkPHP V5<br/><span style="font-size:30px">十年磨一剑 - 为API开发设计的高性能框架</span></p><span style="font-size:22px;">[ V5.0 版本由 <a href="http://www.qiniu.com" target="qiniu">七牛云</a> 独家赞助发布 ]</span></div><script type="text/javascript" src="https://tajs.qq.com/stats?sId=9347272" charset="UTF-8"></script><script type="text/javascript" src="https://e.topthink.com/Public/static/client.js"></script><think id="ad_bd568ce7058a1091"></think>';
 ?  }
 ? ?public function kk()
 ?  {
 ? ? ? ?echo 123;
 ?  }
}

Test.php--要继承一下

带参数的——————

文件/目录/控制器/方法?x=1

文件/目录/控制器/方法/x/1

?

?

加入数据库代码

——配置数据库--config.php 和 database.php

--不过滤

--自己写过滤

--手册(官方)的过滤

——按照手册写法,也不能注入——说明人家已经有过滤了

--34,49,50行都会过滤

————分析代码写法,如果都是按照手册(官方)的写法,————其实就是在找框架的漏洞。

————分析程序的漏洞——是否按照官方写,框架本身有没有漏洞。

————面对框架 还是面对人~~~

?

?

用TP框架找漏洞:

——1-看写法 (是否按照官方)

——2-看历史漏洞--版本! (THINK_VERSION)

THINK_VERSION

————根据版本看漏洞!

框架--简单容易上手--安全--难绕过

?

?

如何判断网站是thinkphp?

黑盒:

--看审查元素 看返回的数据包,X-Powered By

--指纹搜索

--报错信息 url地址,

插件:Wappalyzer 判断TP

白盒:

看源码配置文件 --版本--写法

?

?

php总结

文章来源:https://blog.csdn.net/2303_80857229/article/details/135833390
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
最新文章