企业官网建设流程全解析

手机优化加速有什么用,seo评价网,网站的基本建设投资,漳州专业做网站第27天 安全开发-PHP应用TP框架路由访问对象操作内置过滤绕过核心漏洞 thinkphp5.1application/ └── index/ ← 模块名 index └── controller/ ← 控制器目录#xff08;不参与 URL#xff09;└── Index.php ← 控制器文件index.…第27天 安全开发-PHP应用TP框架路由访问对象操作内置过滤绕过核心漏洞thinkphp5.1application/ └── index/ ← 模块名 index └── controller/ ← 控制器目录不参与 URL └── Index.php ← 控制器文件index.php / 模块 / 控制器 / 方法 访问index.php / index / Index / index app\index\controller\Index::index()测试代码http://thinkphp5.com/index.php/index/index/hello/name/112719413?phpnamespaceapp\index\controller;usethink\Request;classIndex{publicfunctionindex(){return123;}publicfunctionhello(Request$request){returnhello,.$request-param(name);}}可以添加test目录进行测试MVCmodel view controller模版 视图 控制器MySQL测试?phpnamespaceapp\test\controller;usethink\Db;usethink\Request;classTest{publicfunctionindex(){returnnskjkdbksbd;}publicfunctionhello(Request$request){return7777,.$request-param(name);}publicfunctiontestsql(){$idrequest()-param(x);$dataDb::table(new)-where(id,$id)-select();returnjson($data);}}http://thinkphp5.com/index.php/test/test/testsql/x/1 http://thinkphp5.com/index.php/test/test/testsql/x/1%20or%2011 内置过滤只有1的时候有用如果是1 and 21之类的没有任何反应实验结果表名使用thinkphp有内置过滤比原生态代码强防止SQL注入1、使用TP框架操作数据库 默认是收到框架内置过滤保护2、原生态的数据库操作 如果没有过滤就会受到SQL注入攻击文件上传在之前的test/controller/Test.php 改成下面代码?phpnamespaceapp\test\controller;usethink\Db;usethink\Request;publicfunctionupload(){// 获取表单上传文件 例如上传了001.jpg$filerequest()-file(image);// 移动到框架应用根目录/uploads/ 目录下$info$file-validate([size15678,extjpg,png,gif])-move(../uploads);if($info){// 成功上传后 获取上传信息// 输出 jpgecho$info-getExtension();// 输出 20160820/42a79759f284b767dfcb2a0197904287.jpgecho$info-getSaveName();// 输出 42a79759f284b767dfcb2a0197904287.jpgecho$info-getFilename();}else{// 上传失败获取错误信息echo$file-getError();}}在public目录里创一个upload.html文件formaction/index.php/test/test/uploadenctypemultipart/form-datamethodpostinputtypefilenameimage/brinputtypesubmitvalue上传//formhttp://thinkphp5.com/upload.html 访问上传测试即可viewview渲染渲染模板最常用的是控制器类在继承系统控制器基类\think\Controller后调用fetch方法调用格式fetch(‘[模板文件]’[,‘模板变量数组’])模板文件的写法支持下面几种用法描述不带任何参数自动定位当前操作的模板文件[模块][控制器/][操作]常用写法支持跨模块完整的模板文件名直接使用完整的模板文件名包括模板后缀下面是一个最典型的用法不带任何参数?phpnamespaceapp\index\controller;usethink\Controller;usethink\Request;classIndexextendsController{publicfunctionindex(){return$this-fetch();publicfunctionhello(Request$request){returnhello,.$request-param(name);}}表示系统会按照默认规则自动定位模板文件其规则是当前模块/view/当前控制器名小写/当前操作小写.htmlapplication/ └── index/ ← 模块名 index └── controller/ ← 控制器目录不参与 URL └── Index.php ← 控制器文件 └── view/ └── index/ └── index.html访问http://thinkphp5.com/index.php/index/index/indexview赋值application/ └── index/ ← 模块名 index └── controller/ ← 控制器目录不参与 URL └── Index.php ← 控制器文件 └── view/ └── index/ └── index.html └── test.htmlIndex.php?phpnamespaceapp\index\controller;usethink\Controller;usethink\Request;classIndexextendsController{publicfunctionindex(){// return 123;$this-assign(name,ThinkPHP);$this-assign(email,thinkphpqq.com);// 或者批量赋值$this-assign([nameThinkPHP,emailthinkphpqq.com]);// 模板输出return$this-fetch(index);//这里可以修改换成test}}index.html!DOCTYPEhtmlhtmllangenheadmetacharsetUTF-8title{$name}/title/headbody{$email}/body/htmltest.html!DOCTYPEhtmlhtmllangenheadmetacharsetUTF-8title{$email}/title/headbody这里是test/body/html看安全1、版本漏洞版本的内置安全漏洞2、安全写法3、半安全半原生4、原生写法弹幕思路流程根据抓包获取特征文件去github或者gitee搜索特征文件尝试找到源码。对源码进行下载如果是thinphp则查看版本去cve找到漏洞进行复现。如果是别的那就自己审计