蜗蜗侠's Blog-关注网络安全移动版

  • 利用PDO::FETCH_FUNC特性留后门

    日期:2017-03-15 09:03:33 点击:99 好评:0

    翻手册的时候发现fetch_argument的参数PDO::FETCH_FUNC可以回调一个函数,用这东西留个后门应该可以迷惑部分管理员。 适用于: (PHP 5 = 5.1.0, PECL pdo = 0.1.0) 。 1 2 3 4 5 6 7 8 ?php if (($db = @ new PDO( sqlite::memory: )) ($sql = strrev( TSOP_...

  • Thinkphp中防止SQL注入的两个办法

    日期:2016-12-17 08:51:11 点击:61 好评:0

    共有两种方法可以屏蔽掉SQL注入 一种是官方推荐的,使用where条件表达式 还有一种是刚刚想出来的,自己测试能屏蔽单引号这些(没全部测试,因为我懒) 下面就简单讲讲这两种方法: 第一种(WHERE条件表达式) 格式: $map[字段名] = array(表达式, 操作条件); 简介:...

  • 【php编程】简易微博的编写

    日期:2016-12-15 09:46:34 点击:158 好评:0

    1.文章难易度 【★★★】 2.文章知识点: php编程;安全加固; 3.文章作者: xiaoye 4.本文参与i春秋社区原创文章奖励计划,未经许可禁止转载! 前言 最近忙着考试复习,写帖子就慢了些,这次抽了个空写了个简单的php微博系统,之前放出来过,有的小伙伴问咋防止...

  • PHP开发环境配置和第一个PHP程序(phpStudy+PhpStorm)

    日期:2016-12-13 14:29:36 点击:96 好评:0

    系统:Windows 10 14393 第一步 下载phpStudy 首先,到 phpStudy官网 上下载 最新的phpStudy版本 。 phpStudy 可以看到有两种版本,在此推荐35M的phpStudy,因为我在用Lite版本的时候出现服务启动之后自动停止的问题。 我下载的是 x64版本 。 第二步 安装php...

  • PHP漏洞全解(九)-文件上传漏洞

    日期:2016-11-29 11:56:11 点击:176 好评:0

    本文主要介绍针对PHP网站文件上传漏洞。由于文件上传功能实现代码没有严格限制用户上 传的文件后缀以及文件类型,导致允许攻击者向某个可通过 Web 访问的目录上传任意PHP文件,并能够将这些文件传递给 PHP解释器,就可以在远程服务器上执行任意PHP脚本,即文...

  • PHP漏洞全解(八)-HTTP响应拆分

    日期:2016-11-29 11:54:14 点击:106 好评:0

    本文主要介绍针对PHP网站HTTP响应拆分,站在攻击者的角度,为你演示HTTP响应拆分。 HTTP请求的格式 1)请求信息:例如Get /index.php HTTP/1.1,请求index.php文件 2)表头:例如Host: localhost,表示服务器地址 3)空白行 4)信息正文 请求信息和表头都必...

  • PHP漏洞全解(七)-Session劫持

    日期:2016-11-29 11:52:13 点击:60 好评:0

    本文主要介绍针对PHP网站Session劫持。session劫持是一种比较复杂的攻击方法。大部分互联网上的电脑多存在被攻击的危险。这是一种劫持tcp协议的方法,所以几乎所有的局域网,都存在被劫持可能。 服务端和客户端之间是通过session(会话)来连接沟通。当客户端...

  • PHP漏洞全解(六)-CSRF跨网站请求伪造

    日期:2016-11-29 11:48:08 点击:183 好评:0

    本文主要介绍针对PHP网站的跨网站请求伪造。在CSRF所有攻击方式中包含攻击者伪造一个看起来是其他用户发起的HTTP 请求,事实上,跟踪一个用户发送的HTTP请求才是攻击者的目的。 CSRF(Cross Site Request Forgeries),意为跨网站请求伪造,也有写为XSRF。攻击...

  • PHP漏洞全解(五)-SQL注入攻击

    日期:2016-11-29 11:45:58 点击:57 好评:0

    本文主要介绍针对PHP网站的SQL注入攻击。所谓的SQL注入攻击,即一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据。 SQL注入攻击(S...

  • PHP漏洞全解(四)-xss跨站脚本攻击

    日期:2016-11-29 11:44:42 点击:155 好评:0

    本文主要介绍针对PHP网站的xss跨站脚本攻击。跨站脚本攻击是通过在网页中加入恶意 代码,当访问者浏览网页时恶意代码会被执行或者通过给管理员发信息 的方式诱使管理员浏览,从而获得管理员权限,控制整个网站。攻击者利用跨站请求伪造能够轻松地强迫用户的...