web安全学习笔记(8)

news2025/1/9 15:47:24

记一下第十二节课的内容。

一、PHP文件包含的四种方式

Include和Include_once

        操作系统会读取包含的文件的内容,并将它插入主文件中,include方式的文件包含会在包含失败的情况下输出警告信息,而include_once方式会检查包含的文件是否已经被包含过,如果已经包含过则不再重新包含。

Require和Require_once

        require和require_once方式的文件包含和include与include_once是类似的,不过它们之间的不同点在于把汗出错时,require方式会直接导致程序终止并输出错误信息,而include方式只是警告信息。require_once方式会检查包含的文件是否以及被包含过,如果已经包含过则不再重新包含。这一点和include_once方式是一样的。

进行一下示例:

将login.php改为如下内容:

<?php
    include('./function.php')

    /*
    #用户名
    $username = $_POST['username'];
    #密码
    $password = $_POST['password'];
    
    #判断用户名与密码不正确则输出失败
    if ($username != 'admin' || $password != '123456') {
        die('<script>alert("登录失败!");location.href = "./login.html"</script>'); 
    } 
    echo '登录成功!';
    */
?>

function.php文件中输入如下内容:

<?php
echo 111;

我们再进行登录,就echo出来了111

思考:如果多次使用include和include_once,以及require和require_once,当文件名正确或者错误时,会出现什么情况?

那么我们把login.php改名为index.php(黑鬼改的,我也不知道为啥改名,跟着改吧)

然后将其中代码改为:

<?php
    $a = $_GET['a'];
    $b = $_GET['b'];

    switch ($a) {
        case 'login':
            switch ($b) {
                case 'index':
                    require_once('./login.html'); -
                break;
                
                default:
                    # code...
                break;
            }
        break;
        
        default:
            # code...
        break;
    }
?>

当我们在login.html中,点击登录之后,就会出现空白页面,因为这段switch代码并没有有效执行

可以看到,跳转之后是空白页面。

那么我们如何让这段代码执行呢?通过更改我们的网址,在后面加上如下内容,就会让require_once得到执行。

然后我们将login.php改为如下内容:

<?php
    $a = $_GET['a'];
    $b = $_GET['b'];
    $f = $_SERVER['REQUEST_METHOD'];

    switch ($a){
        case 'login':
            switch ($b){
                case 'index':
                    switch ($f) {
                        case 'GET':
                            require_once('./login.html');
                        break;

                        case 'POST':
                            echo 111;
                        break;
                        
                        default:
                            # code...
                            break;
                    }
                break;
                
                default:
                    # code...
                break;
            }
        break;
        
        default:
            # code...
        break;
    }
?>

再进行访问,会发现还会回跳到login.html的页面:

原因是我们多了一层switch嵌套之后,实际上相当于多判断一次传参方式是否是get传参,而此处显然是,所以可以正常显示。另外,$_SERVER 是PHP预定义的超全局变量。所谓“超全局变量”,即在脚本全部作用域中都可以使用,$_SERVER保存关于报头、路径和脚本位置的信息。

主要内容详解

  • $_SERVER["SCRIPT_NAME"] => "/index.php",当前脚本路径
  • $_SERVER["REQUEST_URI"] => "/index.php?id=1",访问的页面URI,包含查询字符串
  • $_SERVER["QUERY_STRING"] => "id=1",查询字符串,不存在为" "
  • $_SERVER["REQUEST_METHOD"] => "GET",请求方法,如"POST"、"PUT"等
  • $_SERVER["SERVER_PROTOCOL"] => "HTTP/1.1",通信协议的名称和版本
  • $_SERVER["GATEWAY_INTERFACE"] => "CGI/1.1",服务器使用的CGI 规范的版本
  • $_SERVER["REMOTE_PORT"] => "60599",用户连接服务器使用的端口
  • $_SERVER["SCRIPT_FILENAME"] => "E:/WWW/example/index.php",当前脚本的绝对路径
  • $_SERVER["DOCUMENT_ROOT"] => "E:/WWW/example/",当前脚本文档根目录的绝对路径
  • $_SERVER["REMOTE_ADDR"] => "127.0.0.1",用户的IP地址
  • $_SERVER["SERVER_PORT"] => "80",服务器使用的端口
  • $_SERVER["SERVER_ADDR"] => "127.0.0.1",服务器的IP地址
  • $_SERVER["SERVER_NAME"] => "www.example.com",服务器的主机名,注:如果脚本运行于虚拟主机中,该名称是由那个虚拟主机所设置的值决定。在 Apache 2 里,必须设置 UseCanonicalName = On 和 ServerName。 否则该值会由客户端提供,就有可能被伪造。 上下文有安全性要求的环境里,不应该依赖此值。
  • $_SERVER["SERVER_SOFTWARE"] => "Apache/2.4.23 (Win32) OpenSSL/1.0.2j mod_fcgid/2.3.9",响应头中Server的内容
  • $_SERVER["SERVER_SIGNATURE"] => "",包含了服务器版本和虚拟主机名的字符串
  • $_SERVER["HTTP_HOST"] => "www.example.com",请求头中Host项的内容
  • $_SERVER["HTTP_CONNECTION"] => "keep-alive",请求头中Connection项的内容
  • $_SERVER["HTTP_PRAGMA"] => "no-cache",请求头中Pragma项的内容
  • $_SERVER["HTTP_CACHE_CONTROL"] => "no-cache",请求头中Cache-Control项的内容
  • $_SERVER["HTTP_UPGRADE_INSECURE_REQUESTS"] => "1",请求头中Upgrade-Insecure-Requests项的内容
  • $_SERVER["HTTP_USER_AGENT"] => "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36",请求头中User-Agent项的内容
  • $_SERVER["HTTP_ACCEPT"] => "text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/;q=0.8",请求头中Accept项的内容
  • $_SERVER["HTTP_ACCEPT_ENCODING"] => "gzip, deflate",请求头中Accept-Encoding项的内容
  • $_SERVER["HTTP_ACCEPT_LANGUAGE"] => "zh-CN,zh;q=0.8",请求头中Accept-Language项的内容
  • $_SERVER["PHP_SELF"] => "/index.php",当前执行脚本的文件名
  • $_SERVER["REQUEST_TIME_FLOAT"] => 1510112348.8084,请求开始的时间戳,微秒级别精准度
  • $_SERVER["REQUEST_TIME"] => 1510112348,请求开始的时间戳

此处用到的就是$_SERVER["REQUEST_METHOD"] ,表示请求方法,如"POST"、"PUT"等。

引用自PHP 的 $_SERVER详解-CSDN博客

二、PHP的数据类型——数组和字典

1.数组

 1.1一维数组

用一个实例说明数组的定义和访问:

<?php
$array = [
    0 => 'a',
    1 => 'b',
    2 => 'c',
    3 => 'd'
];

echo $array[1];

通过网页访问:

或者通过下面方式声明:

<?php
$array = ['1','2','3','4','5'];
echo $array[4];

下面我们来看一下键值数组:

<?php
$array = [
    'name' => 'zhangsan',
    'age' => 30,
];


echo $array['age'];

1.2二维数组

定义一个二维数组,并使用var_dump函数查看其数据类型:

<?php
$array = [[1,2,3,4,5,6],[1,2,3,4,5,6]];
var_dump($array);

不难发现,实际上,二维数组就是数组的嵌套使用。类似地,还有三维数组、四维数组……

要取二维数组的某个元素,使用$array[i][j]即可,i指的是第i个数组,j指的是第i个数组中的第j个元素。注意:数字占一个字节,而中文占三个字节。

1.3键值数组

不多bb,上代码:

<?php
$array = [
    [
        'name' => '张三'
    ],[
        'name' => '99'
    ],[
        'name' => '丁真',
        'smile' => '纯真',
        'animalfriend' => '雪豹',
    ]
];
echo $array[2]['animalfriend'], '闭嘴';

2.字典

没讲,应该是下节课讲。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1580537.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【数据结构与算法篇】单链表及相关OJ算法题

【数据结构与算法篇】单链表及相关OJ算法题

【数据结构与算法篇】单链表及相关OJ算法题 &#x1f955;个人主页&#xff1a;开敲&#x1f349; &#x1f525;所属专栏&#xff1a;数据结构与算法&#x1f345; &#x1f33c;文章目录&#x1f33c; 1. 单链表的实现(近300行实现代码) 1.1 SList.h 头文件的声明 1.2 SLi…
阅读更多...
指针 运算偏移

指针 运算偏移

思维导图&#xff1a; 题目&#xff1a; 1.变量的指针&#xff0c;其含义是指该变量的 B 。 A&#xff09;值 B&#xff09;地址 C&#xff09;名 D&#xff09;一个标志 2.已有定义int k2;int *ptr1,*ptr2;且ptr1和ptr2均…
阅读更多...
每日OJ题_两个数组dp⑥_力扣97. 交错字符串

每日OJ题_两个数组dp⑥_力扣97. 交错字符串

目录 力扣97. 交错字符串 解析代码 力扣97. 交错字符串 97. 交错字符串 难度 中等 给定三个字符串 s1、s2、s3&#xff0c;请你帮忙验证 s3 是否是由 s1 和 s2 交错 组成的。 两个字符串 s 和 t 交错 的定义与过程如下&#xff0c;其中每个字符串都会被分割成若干 非空 子…
阅读更多...
YOLOv5标签值含义根据标签将检测框色块替换(马赛克)

YOLOv5标签值含义根据标签将检测框色块替换(马赛克)

以一个检测人脸的图片为例&#xff1a; 检测后生成的标签txt如下&#xff0c; 此时&#xff0c;如何根据标签值将检测到的人脸同色块替换呢&#xff1f; 关键是获取检测框的左上角坐标和右下角坐标。 img Image.open(D:/PythonWokspace/JINX/datasets_transform/dataset/im…
阅读更多...
【grpc】三、grpc入门,内置日志打印

【grpc】三、grpc入门,内置日志打印

一、开启条件 通过查看 grpc 的内置文件可以看到&#xff0c;日志打印是由环境变量控制的&#xff1a; export GRPC_GO_LOG_VERBOSITY_LEVEL99 # 日志详细程度&#xff0c;这里99为最高 export GRPC_GO_LOG_SEVERITY_LEVELinfo # 日志等级&#xff0c;这里为info如果是用Gol…
阅读更多...
接雨水(双指针)

接雨水(双指针)

11. 盛最多水的容器 - 力扣&#xff08;LeetCode&#xff09; 题目描述 给定 n 个非负整数表示每个宽度为 1 的柱子的高度图&#xff0c;计算按此排列的柱子&#xff0c;下雨之后能接多少雨水。 样例输入 示例 1&#xff1a; 输入&#xff1a;height [0,1,0,2,1,0,1,3,2,1,…
阅读更多...
Vue文档

Vue文档

Vue是什么&#xff1f;为什么要学习他 Vue是什么&#xff1f; Vue是前端优秀框架&#xff0c; 是一套用于构建用户界面的渐进式框架 为什么要学习Vue Vue是目前前端最火的框架之一Vue是目前企业技术栈中要求的知识点Vue可以提升开发体验Vue学习难度较低… Vue开发前的准备 安…
阅读更多...
SpringMVC数据接收(全面/详细注释)

SpringMVC数据接收(全面/详细注释)

SpringMVC涉及组件&#xff1a; DispatcherServlet : SpringMVC提供&#xff0c;我们需要使用web.xml配置使其生效&#xff0c;它是整个流程处理的核心&#xff0c;所有请求都经过它的处理和分发&#xff01;[ CEO ]HandlerMapping : SpringMVC提供&#xff0c;我们需要进行…
阅读更多...
MySQL8.3.0 主从复制方案(master/slave)

MySQL8.3.0 主从复制方案(master/slave)

一 、什么是MySQL主从 MySQL主从&#xff08;Master-Slave&#xff09;复制是一种数据复制机制&#xff0c;用于将一个MySQL数据库服务器&#xff08;主服务器&#xff09;的数据复制到其他一个或多个MySQL数据库服务器&#xff08;从服务器&#xff09;。这种复制机制可以提供…
阅读更多...
若依框架学习——分页查询列表

若依框架学习——分页查询列表

条件查询【多条件】列表展示【分页】SaCheckPermissionTableName TableId NotBlank Page分页 字典&#xff1a; 响应数据封装类
阅读更多...
ModuleNotFoundError: No module named ‘ultralytics.utils‘

ModuleNotFoundError: No module named ‘ultralytics.utils‘

项目场景he 问题描述 提示&#xff1a;这里简述项目相关背景&#xff1a; model YOLO(modelr./yolov8m-cls.pt) 加载预训练模型时报错。 ModuleNotFoundError: No module named ultralytics.utils warning: bug: 原因分析&#xff1a; 很可能是提前下载的预训练模型出了…
阅读更多...
贪心算法|406.根据身高重建队列

贪心算法|406.根据身高重建队列

力扣题目链接 class Solution { public:static bool cmp(const vector<int>& a, const vector<int>& b) {if (a[0] b[0]) return a[1] < b[1];return a[0] > b[0];}vector<vector<int>> reconstructQueue(vector<vector<int>…
阅读更多...
c语言 :柔性数组与c/c++内存领域的划分

c语言 :柔性数组与c/c++内存领域的划分

提示&#xff1a;文章写完后&#xff0c;目录可以自动生成&#xff0c;如何生成可参考右边的帮助文档 文章目录 一 柔性数组&#xff08;1&#xff09;什么是柔性数组1&#xff09;柔性数组的声明2&#xff09;柔性数组的特性 &#xff08;2&#xff09;柔性数组的使用 二 c/c内…
阅读更多...
HarmonyOS 应用开发-ArkUI(ets)仿“腾讯新闻”APP

HarmonyOS 应用开发-ArkUI(ets)仿“腾讯新闻”APP

一、效果演示 1、新闻列表页 2、新闻详情页、图片展示页 3、视频页 4、动态页 二、 流程图 –本来自定义了视频的控制栏的&#xff0c;但是发现VideoController()控制器的bug会导致控制器失效&#xff0c;所以没继续做。视频页先不搞了。 三、文件组织&#xff08;“我的页面…
阅读更多...
性能优化 - 你知道dns-prefetch有什么用吗

性能优化 - 你知道dns-prefetch有什么用吗

难度级别:中级及以上 提问概率:50% 我们在HTML文档里写一个script标签,为src属性指定Javascript文件网络地址,这是一件再平凡不过的事情。当浏览器加载HTML文档,加载到这个script标签的时候,就会去下载Javascript文件。而在下载之前,就…
阅读更多...
Unity类银河恶魔城学习记录12-8 p130 Skill Tree UI源代码

Unity类银河恶魔城学习记录12-8 p130 Skill Tree UI源代码

Alex教程每一P的教程原代码加上我自己的理解初步理解写的注释&#xff0c;可供学习Alex教程的人参考 此代码仅为较上一P有所改变的代码 【Unity教程】从0编程制作类银河恶魔城游戏_哔哩哔哩_bilibili UI.cs using UnityEngine;public class UI : MonoBehaviour {[SerializeFi…
阅读更多...
C++中高阶数据结构(AVL树的原理讲解)

C++中高阶数据结构(AVL树的原理讲解)

AVL树 AVL树的定义 avl本质是搜索树,是高度平衡二叉搜索树.特点是:任何树的左右子树的高度差不超过1.最大的高度差值最大也只能是1,也称之为平衡因子, 平衡因子就是右子树减去左子树的值,这个值的绝对值的最大值只能是1.这个平衡因子不是必须的,只是一种控制方式,方便我们更…
阅读更多...
stable diffusion的从安装到使用

stable diffusion的从安装到使用

stable-diffusion&#xff0c;一个免费开源的文生图软件&#xff0c;文章主要讲怎么从源码开始安装&#xff0c;以及使用的方式 git地址&#xff1a;https://github.com/AUTOMATIC1111/stable-diffusion-webui 本人电脑环境win10&#xff0c;软件pycharm&#xff0c;需要提前…
阅读更多...
【话题:工作生活】2022年工作总结--疫情下的上海,疫情中的我。

【话题:工作生活】2022年工作总结--疫情下的上海,疫情中的我。

现在是阳历2023年11月27日星期一&#xff0c;我再次开始撰写自己的年终工作总结。希望再过1、2个月&#xff0c;这份年终总结能够出炉&#xff0c;与大家相遇。 给自己定个小目标&#xff0c;年终的工作生活总结坚持写10年。我2017年毕业&#xff0c;之后就开始写每年的年终总结…
阅读更多...
密码应用方案测评要点及测评过程

密码应用方案测评要点及测评过程

&#xff08;1&#xff09;背景 《GBT39786-2021 信息系统密码应用基本要求》中第1-4级密码应用基本要求均包括“应依据相关标准和密码应用需求&#xff0c;制定密码应用方案”。第1-4级密码应用基本要求对于“投入运行前进行密码应用安全性评估”的具体如下。 第一级&#xff…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023