第27天:安全开发-PHP应用&TP框架&路由访问&对象操作&内置过滤绕过&核心漏洞

这篇具有很好参考价值的文章主要介绍了第27天:安全开发-PHP应用&TP框架&路由访问&对象操作&内置过滤绕过&核心漏洞。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

第二十七天

第27天:安全开发-PHP应用&TP框架&路由访问&对象操作&内置过滤绕过&核心漏洞,小迪安全V2023,安全,php,开发语言,web安全,网络安全,数据库

一、TP框架-开发-路由访问&数据库&文件上传&MVC模型

1.TP框架-开发-配置架构&路由&MVC模型

参考:https://www.kancloud.cn/manual/thinkphp5_1

  1. 配置架构-导入使用
  2. 路由访问-URL访问
  3. 数据库操作-应用对象
  4. 文件上传操作-应用对象
  5. 前端页面渲染-MVC模型

二、TP框架-安全-不合规写法&内置过滤绕过&版本安全漏洞

1.TP框架-安全-不安全写法&版本过滤绕过

1.内置代码写法

不合要求的代码写法-ThinkPHP5-自写

2.框架版本安全
  1. 写法内置安全绕过-ThinkPHP5-SQL注入
  2. 内置版本安全漏洞-ThinkPHP5-代码执行
  3. 如果该版本有漏洞,即使使用了安全的写法那也有漏洞
  4. 看版本漏洞,版本如果内置绕过漏洞,同样也有漏洞

**逻辑越权原理:**在设计数据库的时候,仅仅使用UID来限制用户权限的等级,这种设计可以通过抓包的方法来修改UID的值获得更高的权限。


三、环境复现

1.安全写法

虽然写法安全,但是版本有漏洞,则依旧存在漏洞

$id=request()->param('x');
$data=Db::table('news')->where('id',$id)->find();

2.半安全写法

同样具有安全隐患文章来源地址https://www.toymoban.com/news/detail-857414.html

//用一半安全写法 有安全隐患
   $id=request()->param('x');
   $data=Db::query("select * from news where id=$id");

3.原生写法

// 从GET请求中获取id参数,如果不存在则默认为1
$id = $_GET['id'] ?? '1';

// 构建SQL查询语句
$sql = "select * from news where id=$id";
echo $sql;

// 执行查询并获取结果集
$data = mysqli_query($con, $sql);

// 使用mysqli_fetch_row遍历结果集的每一行
while ($row = mysqli_fetch_row($data)) {
    // 从结果集中获取每一列的值,并存储到相应的变量中
    $page_title = $row[1];
    $heading = $row[2];
    $subheading = $row[3];
    $content = $row[4];
    $item = $row[5];
}

到了这里,关于第27天:安全开发-PHP应用&TP框架&路由访问&对象操作&内置过滤绕过&核心漏洞的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • tp-link路由器访问网址是什么怎么设置?

    tp-link路由器设置网址默认状态是192.168.1.1,如果你修改了那就不知道了,下面我来给大家介绍路由器设置网址方法。 一,tp-link路由器默认网址为:192.168.1.1或192.168.0.1这两个,如果不正常应该是你重新改过路由器的网地址了 二,修改网址 1、登录TP LINK路由器配置界面。 2、在

    2024年02月06日
    浏览(50)
  • tp8 升级TP框架版本,同时网站打不开,错误代码 ERR_ADDRESS_INVALID,启动内置服务器 运行PHP命令php think run 输出结果是空白

    环境:windows11  phpstudy_pro  thinkphp8.0 php8.2.9   进入composer : 选择composer,再选择对应网站的PHP版本, 启动内置服务器 按上面操作,发现输出结果是空白,没有任何东西 三、启用VSCODE的xdebug调试 在VSCODE中启用调试F5,在think文件中打断点 全部勾上 一直一步一步往下走,发现

    2024年01月22日
    浏览(86)
  • 第25天:安全开发-PHP应用&文件管理&包含&写入&删除&下载&上传&遍历&安全

    1.文件上传: 无过滤机制 黑名单过滤机制 白名单过滤机制 文件类型过滤机制 2.文件删除: unlink() 文件删除函数 调用命令删除:system shell_exec exec等 3. 文件下载: 修改HTTP头实现文件读取解析下载: 1.文件包含: 2.架构: 上传至服务器本身的存储磁盘(源码在一起) 云产品OS

    2024年04月29日
    浏览(42)
  • Tp link路由器设置 路由器限速设置和安全设置

    Tp link 路由器设置:路由器限速设置和安全设置 随着我国路由行业的发展,宽带路由器的应用也更加的广泛,也推动了路由技术更新升级,这里讲解一下 tp link路由器设置中路由器限速设置与P2P的问题。 tp link 路由器设置:路由器限速设置与 P2P设置问题 P2P全称 peer-to-peer,可

    2024年02月05日
    浏览(45)
  • 小迪安全 第14天:php开发-个人博客项目&输入输出类&留言板&访问IP&UA头来源

    1.PHP-全局变量$_SERVER 2.MYSQL-插入语法INSERT 3.输入输出-XSS反射存储 4.安全问题-XSS跨站CSRF等 导入sql文件:navicat导入sql数据库文件的简单操作步骤_sql文件怎么导入navicat-CSDN博客①搜索框: ② php代码: ③结果  ④总结 在输入输出过程中有哪些安全问题:1.sql注入 2. XSS (在搜索框

    2024年04月26日
    浏览(47)
  • php+mysql的基于微信小程序的企业装修平台的设计与实现 TP框架(附源码 调试 讲解 文档)

    随着移动互联网的普及,传统的装修行业逐渐向互联网装修转型。微信小程序作为一种新型的应用形态,凭借其便捷性、易用性和普及性,成为了企业装修平台开发的首选。本文旨在设计和实现一个基于微信小程序的企业装修平台,通过公司展示、案例展示、设计师展示、在

    2024年02月05日
    浏览(54)
  • TP-Link怎么防蹭网?TP-Link无线路由器的安全设置方法图解

    随着智能手机/平板电脑以及笔记本等无线设备的流行,无线网络也早已悄然流行。对于绝大多数用户而言,家中主要使用无线路由器实现家中的无线Wifi网络覆盖。不过如今蹭网横行,很多朋友由于不注重路由器安全设置,从而很容易被蹭网。他人蹭网不仅影响网速,还可能

    2024年02月07日
    浏览(62)
  • TP-LINK无线路由器WDS功能应用举例

    在无线网络成为家庭和中小企业组建网络的首选解决方案的同时,由于房屋基本都是钢筋混凝土结构,并且格局复杂多样,环境对无线信号的衰减严重。所以使用一个无线AP进行无线网络覆盖时,会存在信号差,数据传输速率达不到用户需求,甚至存在信号盲点的问题。为了

    2024年02月06日
    浏览(51)
  • 汽车诊断之UDS入门-0x27(SecurityAccess)安全访问

    安全访问服务 0x27 用来解锁 ECU 对应的安全等级 , 一般处在非默认会话 下 进行解锁,这个服务解锁的是 处在某个安全等级下的服务 。 服务格式   安全等级解闭锁   需要注意的是: 1.P owerOn 或者 R eset 后, ECU 处在 locked 状态; 2.同一时刻只有 1 个安全等级是 active ,与这个

    2024年02月08日
    浏览(74)
  • tplink怎么防蹭网?TP-Link无线路由器安全设置教程

    如今蹭网横行,很多朋友由于不注重路由器安全设置,从而很容易被蹭网。他人蹭网不仅影响网速,还可能泄露隐私,用户有必加强路由器安全设置。那么tplink怎么防蹭网?下面yii666就为大家分享TP-Link无线路由器安全设置教程,可屏蔽99%黑客,希望能帮到大家! TP-Link无线路由

    2024年02月07日
    浏览(67)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包