4 天前 / ye1s
前言 最近整理 PHP 文件包含漏洞姿势的时候,发现一些比较好用的姿势关于本地文件包含漏洞可以利用临时文件包含恶意代码拿到 Webshell 的一些奇技淫巧,于是打算详细整理一下。 PHP LFI PHP LFI 本地文件包含漏洞主要是包含本地服务器上存储的一些文件,例如 session 文件、日志文件、临时文件等。但是,只有我们能够控制包含的文件存储我们的恶意代码才能拿到服务器权限。 假如在服务器上找不到我们可以包含的文件,那该怎么办,此时可以通过利用一些技巧让服务存储我们恶意生成的临时文件,该临时文件包含我们构造的的恶意代码...
23 天前 / 一码成一砖
不说废话,不扯啥世界上最好的语言,以下是我个人六年搬砖过程中用的一些好用的工具或者觉得不错的习惯,分享出来希望能帮助到有需要的人。 1、IDE:优先跟随团队约定的 IDE,用过 phpstom 和 netbeans 。优先推荐 phpstom ,因为更专业,他家的其他编辑器的快捷键和界面也能够让你很快上手。写代码的时候,先想好步骤,先写注释占坑,没完成的加 todo 标签。不想写面条代码的话,可以试试 phpstom 的 Refactor-Extract-Method 功能进行简单重构。 2、本地开发环境,docker 或 vagrant 建议要会一样。
23 天前 / openio
转载请注明出处随着 PHP7.4 而来的有一个我认为非常有用的一个扩展:PHP FFI(Foreign Function interface), 引用一段 PHP FFI RFC 中的一段描述: For PHP, FFI opens a way to write PHP extensions and bindings to C libraries in pure PHP. 是的,FFI 提供了高级语言直接的互相调用,而对于 PHP 来说,FFI 让我们可以方便的调用 C 语言写的各种库。 其实现有大量的 PHP 扩展是对一些已有的 C 库的包装,比如常用的 mysqli, curl, gettext 等,PECL 中也有大量的类似扩展。
38 天前 / 涯之叶
最近在研究 webshell 免杀,抽出心得的一个新颖的点。原因是突然想到既然 php7.1 不能利用可变函数的 assert,那就利用 php7 的新特性来绕过查杀正则,最终绕过某盾和“某 d0g”。 实验环境在 7.1.9,所有马儿在 php7 以下的环境均不能使用。 D 盾规则库(最新):20191227 某 d0g 因为可能会因为用其产品测试,导致侵权行为,为了防止被举报所以就不放图了。 前置实验 某盾 首先以下代码 可以用查杀软件测试一下。 发现没有被检测到。 可以使用。
38 天前 / _Hex_
首发于 CodeIgniter 写文章 PHP 框架 CodeIgniter 4.0 正式版发布了!HexCodeIgniter 中国社区创始人 28 人赞同了该文章作者:Lonnie Ezell 原文:https://forum.codeigniter.com/thread-75581.html 今天我们隆重的宣布,完全重写的 CodeIgniter 4.0 正式版发布了!非常感谢所有贡献代码,撰写文档或提交 Issue 的朋友们。当你浏览市面上大多数的 PHP 框架时,你会发现其中大多数框架都具有某种形式的商业支持,但是对于 CodeIgniter 框架来说,是一些普普通通的开源贡献者们帮助了框架的发展,甚至在遇到一些挑战时仍在继续坚持。
39 天前 / 码农UP2U
什么是 PHP 扩展 通俗说,PHP 扩展是增强 PHP 语言功能的插件。PHP 提供了编程语言的语法,比如分支、循环、函数、类等,这些是 PHP 本身所提供的。在某些情况下需要在 PHP 语言的基础上进行扩展,那么就需要通过 PHP 底层提供的数据结构和接口来开发 PHP 扩展,从而来补充或扩展 PHP 语言,使之更加的强大。当然了,PHP 本身就已经集成了一些基本的、强大的、优秀的 PHP 扩展。 PHP 扩展的好处 从上面的了解得知,PHP 扩展可以在 PHP 原有的基础上来扩展 PHP 的功能,使之更为的强大。
62 天前 / xF0rk
文章来源于;Sec 盾 随着 php 用的越来越多,安全问题也变得更为重要,php 环境提供的安全模式是个非常重要的内嵌的安全机制,能够控制一些 php 中的函数,比如 system(),同时把很多文件操作函数进行了权限控制,也不允许对某些关键字文件的文件,比如 /etc/passwd,但是默认的 php.ini 是没有打开安全模式的。下面讲解如何使用 php 的安全功能来保护网站的安全性: 一。启用 php 的安全模式 php 的安全模式是个非常重要的内嵌的安全机制,能够控制一些 php 中的函数,比如 system(),同时把很多文件操作函数进行了权限控制...
90 天前 / 龙羽
在平时php-fpm的时候,可能很少人注意php的变量回收,但是到swoole常驻内存开发后,就不得不重视这个了,因为在常驻内存下,如果不了解变量回收机制,可能就会出现内存泄露的问题,本文将一步步带你了解php的垃圾回收机制,让你写出的代码不再内存泄漏 写时复制首先,php的变量复制用的是写时复制方式,举个例子. $a='仙士可'.time();$b=$a;$c=$a;//这个时候内存占用相同,$b,$c都将指向$a的内存,无需额外占用$b='仙士可1号';//这个时候$b的数据已经改变了,无法再引用$a的内存,所以需要额外给$b开拓内存空间$a='仙士可2号';//$a的数据发生了变化,同样...
91 天前 / Allon
线性表,全名为线性存储结构。使用线性表存储数据的方式可以这样理解,即“把所有数据用一根线串起来,再存储到物理空间中”。最简单的线性表就是数组了。虽然PHP的数组本身不是由基础的数据结构构成,但是其内部实现方式应用到了大部分的线性表数据结构。今天,借着学习线性表数据结构的机会,重新回顾PHP数组的内部实现原理。 PHP数组的内部实现数组是PHP中很强大且非常重要的数据类型。它既支持单纯的数字索引数组又支持键值对数组,其中键值对数组类似于 java的 HashMap。
105 天前 / kafeidou
阿里妹导读:上个月,PHP开发者在网上纷纷反映出现 Composer 镜像无法访问的问题。阿里云内部一位 90 后工程师顾咏连夜开工排查,快速解决问题后,他在问题群里收到了一大波来自用户的红包。顾咏最后谢绝了红包,接受了阿里技术的邀请,来聊一聊这次事件问题背后的技术。 一则消息 前段时间,因为国际网络不稳定问题,国内各大Composer镜像都出现了间歇性无法访问情况,这对国内PHPer的生产工作造成了极大的影响。
114 天前 / stelin
Swoft微信技术交流 AOP 中有很多概念 例如(通知)(切面)(连接点)等等,但是作为一名刚入手 AOP 的同学想要理解这些概念其实是很困难的,本文以实战的方式介绍 AOP 不讨论概念,致力于让读者可以 顺利的在 swoft2 中使用AOP AOP 说明AOP 的操作对象是方法,所以不管哪种形式的声明,都是对相应的方法增加功能. 例如现在有个 A 方法.我们如果想在执行 A 方法之前做某些事,例如计算 A 方法开始的执行时间,然后再 A 方法执行后再进行某些操作,例如统计执行时间.这个时候我们就可以考虑 AOP ,AOP 可以让我们在不修改 A 方法本身,在 A 方法之前或者之后添加...
115 天前 / php-v
点击上方“码农编程进阶笔记”,选择“置顶或者星标” 优质文章第一时间送达! 很多人将GO语言称为21世纪的C语言,因为GO不仅拥有C的简洁和性能,而且还很好的提供了21世纪互联网环境下服务端开发的各种实用特性,让开发者在语言级别就可以方便的得到自己想要的东西。 发展历史 2007年9月,Rob Pike在Google分布式编译平台上进行C++编译,在漫长的等待过程中,他和Robert Griesemer探讨了程序设计语言的一些关键性问题,他们认为,简化编程语言相比于在臃肿的语言上不断增加新特性,会是更大的进步。
127 天前 / stelin
基于swoft2和xadmin开发的快速后台开发框架,保留了swoft2的所有特性,加入了thinkphp模板,使得开发更方便快捷。内置了常规的CURD快速模板,可以用少量的代码实现大部分curd功能。内置了权限管理功能,使用跟thinkphp一样的auth权限认证。 安装方法 1、修改./config/dev/bese.php中关于数据库的配置 2、在mysql中新建一个你刚设置的数据库 3、composer install 安装依赖组件 4、执行php bin/swoft install:exec,如果数据库中出现表则表示安装成功(安装成功后会答应demo账号密码) 5、执行swoftcli run-c ws:start启动框架 使用体验...
143 天前 / Allon
验证器怎么创建的,谁创建的 Laravel 文档调用验证器,除了通过控制器,还有就是通过Facades的方式创建验证器对象。Validator::make($data,$rule,$message)。 config/app.php 中注册了'Validator' => Illuminate\Support\Facades\Validator::class。 [ \Illuminate\Validation\Factory::class, \Illuminate\Contracts\Validation\Factory::class ], ]) ... } ... } 可以看出...
146 天前 / u551157
版本格式主版本号.次版本号.修订号 版本号递增规则主版本号:当你做了不兼容的 API 修改次版本号:当你做了向下兼容的功能性新增修订号:当你做了向下兼容的问题修正先行版本号及版本编译元数据可以加到“主版本号.次版本号.修订号”的后面,作为延伸。发布 1.0.0 版本的时机被用于正式环境如果有个稳定的 API 被使用者依赖如果很担心向下兼容的问题总而言之,由于0.x版本在机制和语义上和大于1.0的版本有一定差异,容易产生误用,被用于生产环境的包的版本号都必须>=1.0 composer.lock的规范开发应用程序必须提交 composer.lock 文件到 git 版本库中这会...