web安全学习笔记(8)

记一下第十二节课的内容。

一、PHP文件包含的四种方式

Include和Include_once

        操作系统会读取包含的文件的内容,并将它插入主文件中,include方式的文件包含会在包含失败的情况下输出警告信息,而include_once方式会检查包含的文件是否已经被包含过,如果已经包含过则不再重新包含。

Require和Require_once

        require和require_once方式的文件包含和include与include_once是类似的,不过它们之间的不同点在于把汗出错时,require方式会直接导致程序终止并输出错误信息,而include方式只是警告信息。require_once方式会检查包含的文件是否以及被包含过,如果已经包含过则不再重新包含。这一点和include_once方式是一样的。

进行一下示例:

将login.php改为如下内容:

<?phpinclude('./function.php')/*#用户名$username = $_POST['username'];#密码$password = $_POST['password'];#判断用户名与密码不正确则输出失败if ($username != 'admin' || $password != '123456') {die('<script>alert("登录失败!");location.href = "./login.html"</script>'); } echo '登录成功!';*/
?>

function.php文件中输入如下内容:

<?php
echo 111;

我们再进行登录,就echo出来了111

思考:如果多次使用include和include_once,以及require和require_once,当文件名正确或者错误时,会出现什么情况?

那么我们把login.php改名为index.php(黑鬼改的,我也不知道为啥改名,跟着改吧)

然后将其中代码改为:

<?php$a = $_GET['a'];$b = $_GET['b'];switch ($a) {case 'login':switch ($b) {case 'index':require_once('./login.html'); -break;default:# code...break;}break;default:# code...break;}
?>

当我们在login.html中,点击登录之后,就会出现空白页面,因为这段switch代码并没有有效执行

可以看到,跳转之后是空白页面。

那么我们如何让这段代码执行呢?通过更改我们的网址,在后面加上如下内容,就会让require_once得到执行。

然后我们将login.php改为如下内容:

<?php$a = $_GET['a'];$b = $_GET['b'];$f = $_SERVER['REQUEST_METHOD'];switch ($a){case 'login':switch ($b){case 'index':switch ($f) {case 'GET':require_once('./login.html');break;case 'POST':echo 111;break;default:# code...break;}break;default:# code...break;}break;default:# code...break;}
?>

再进行访问,会发现还会回跳到login.html的页面:

原因是我们多了一层switch嵌套之后,实际上相当于多判断一次传参方式是否是get传参,而此处显然是,所以可以正常显示。另外,$_SERVER 是PHP预定义的超全局变量。所谓“超全局变量”,即在脚本全部作用域中都可以使用,$_SERVER保存关于报头、路径和脚本位置的信息。

主要内容详解

  • $_SERVER["SCRIPT_NAME"] => "/index.php",当前脚本路径
  • $_SERVER["REQUEST_URI"] => "/index.php?id=1",访问的页面URI,包含查询字符串
  • $_SERVER["QUERY_STRING"] => "id=1",查询字符串,不存在为" "
  • $_SERVER["REQUEST_METHOD"] => "GET",请求方法,如"POST"、"PUT"等
  • $_SERVER["SERVER_PROTOCOL"] => "HTTP/1.1",通信协议的名称和版本
  • $_SERVER["GATEWAY_INTERFACE"] => "CGI/1.1",服务器使用的CGI 规范的版本
  • $_SERVER["REMOTE_PORT"] => "60599",用户连接服务器使用的端口
  • $_SERVER["SCRIPT_FILENAME"] => "E:/WWW/example/index.php",当前脚本的绝对路径
  • $_SERVER["DOCUMENT_ROOT"] => "E:/WWW/example/",当前脚本文档根目录的绝对路径
  • $_SERVER["REMOTE_ADDR"] => "127.0.0.1",用户的IP地址
  • $_SERVER["SERVER_PORT"] => "80",服务器使用的端口
  • $_SERVER["SERVER_ADDR"] => "127.0.0.1",服务器的IP地址
  • $_SERVER["SERVER_NAME"] => "www.example.com",服务器的主机名,注:如果脚本运行于虚拟主机中,该名称是由那个虚拟主机所设置的值决定。在 Apache 2 里,必须设置 UseCanonicalName = On 和 ServerName。 否则该值会由客户端提供,就有可能被伪造。 上下文有安全性要求的环境里,不应该依赖此值。
  • $_SERVER["SERVER_SOFTWARE"] => "Apache/2.4.23 (Win32) OpenSSL/1.0.2j mod_fcgid/2.3.9",响应头中Server的内容
  • $_SERVER["SERVER_SIGNATURE"] => "",包含了服务器版本和虚拟主机名的字符串
  • $_SERVER["HTTP_HOST"] => "www.example.com",请求头中Host项的内容
  • $_SERVER["HTTP_CONNECTION"] => "keep-alive",请求头中Connection项的内容
  • $_SERVER["HTTP_PRAGMA"] => "no-cache",请求头中Pragma项的内容
  • $_SERVER["HTTP_CACHE_CONTROL"] => "no-cache",请求头中Cache-Control项的内容
  • $_SERVER["HTTP_UPGRADE_INSECURE_REQUESTS"] => "1",请求头中Upgrade-Insecure-Requests项的内容
  • $_SERVER["HTTP_USER_AGENT"] => "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36",请求头中User-Agent项的内容
  • $_SERVER["HTTP_ACCEPT"] => "text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/;q=0.8",请求头中Accept项的内容
  • $_SERVER["HTTP_ACCEPT_ENCODING"] => "gzip, deflate",请求头中Accept-Encoding项的内容
  • $_SERVER["HTTP_ACCEPT_LANGUAGE"] => "zh-CN,zh;q=0.8",请求头中Accept-Language项的内容
  • $_SERVER["PHP_SELF"] => "/index.php",当前执行脚本的文件名
  • $_SERVER["REQUEST_TIME_FLOAT"] => 1510112348.8084,请求开始的时间戳,微秒级别精准度
  • $_SERVER["REQUEST_TIME"] => 1510112348,请求开始的时间戳

此处用到的就是$_SERVER["REQUEST_METHOD"] ,表示请求方法,如"POST"、"PUT"等。

引用自PHP 的 $_SERVER详解-CSDN博客

二、PHP的数据类型——数组和字典

1.数组

 1.1一维数组

用一个实例说明数组的定义和访问:

<?php
$array = [0 => 'a',1 => 'b',2 => 'c',3 => 'd'
];echo $array[1];

通过网页访问:

或者通过下面方式声明:

<?php
$array = ['1','2','3','4','5'];
echo $array[4];

下面我们来看一下键值数组:

<?php
$array = ['name' => 'zhangsan','age' => 30,
];echo $array['age'];

1.2二维数组

定义一个二维数组,并使用var_dump函数查看其数据类型:

<?php
$array = [[1,2,3,4,5,6],[1,2,3,4,5,6]];
var_dump($array);

不难发现,实际上,二维数组就是数组的嵌套使用。类似地,还有三维数组、四维数组……

要取二维数组的某个元素,使用$array[i][j]即可,i指的是第i个数组,j指的是第i个数组中的第j个元素。注意:数字占一个字节,而中文占三个字节。

1.3键值数组

不多bb,上代码:

<?php
$array = [['name' => '张三'],['name' => '99'],['name' => '丁真','smile' => '纯真','animalfriend' => '雪豹',]
];
echo $array[2]['animalfriend'], '闭嘴';

2.字典

没讲,应该是下节课讲。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/803637.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

口语教育的黄金时代:AI技术引领教育创新与创业机遇

这些人的赚钱思路是真灵活&#xff01; 这几天刷到艾维奇采访之昊的视频&#xff0c;做口语教育真赚钱&#xff0c;lv的包包随便买&#xff0c;住大房子&#xff0c;三辆车&#xff0c;有评论晒图一个九百的课&#xff0c;卖了1.3万份&#xff0c;直接千万到账。 然后我又想到…

TCP重传机制总结

超时重传概念 超时重传&#xff1a;发送方每发送一个数据包&#xff0c;就会为这个数据包设置一个超时时间&#xff0c;如果在时间内没收到应答这个数据包的ACK包&#xff0c;需要重新发送这个数据包&#xff1b;每次重传后&#xff0c;RTO会成倍增加&#xff0c;且重传次数有…

python-pytorch实现skip-gram 0.5.000【直接可运行】

python-pytorch实现skip-gram 0.5.000【直接可运行】 参考导入包加载数据和切词获取wordList、raw_text获取vocab、vocab_sizeword_to_idx、idx_to_word准备训练数据准备模型和参数训练模型保存模型简单预测获取训练后的词向量画图看下分布利用词向量计算相似度余弦点积 参考 …

Jmeter —— 自动录制脚本

1、Jmeter配置 1.1新增一个线程组 1.2Jmeter中添加HTTP代理 1.3配置HTTP代理服务器 修改端口 修改Target Cintroller(目标控制器) 修改Grouping(分组) 编辑录制中的包含和排除 在“URL Patterns to include包含模式”中填入.*(123456).*用以过滤请求地址中不包含123456的请求…

【K8S:初始化】:执行kubeadm显示:connection refused.

文章目录 [root10 kubernetes]# kubeadm init --kubernetes-versionv1.23.0 --image-repositoryregistry.aliyuncs.com/google_containers --apiserver-advertise-address192.168.56.104 [init] Using Kubernetes version: v1.23.0 [preflight] Running pre-flight checks [pre…

Angular Web项目前端无法正确显示base64类型的图片

昨天在本地环境部署网站时遇见了一个问题&#xff0c;后端接口返回的Base64类型的图片文件&#xff0c;在浏览器页面上无法正常显示&#xff0c;经过一番排查发现&#xff0c;问题出现在了两个方面&#xff1a; 1、网站前端使用了Angular框架&#xff0c;Angular中默认将所有输…

深入浅出 useEffect:React 函数组件中的副作用处理详解

useEffect 是 React 中的一个钩子函数&#xff0c;用于处理函数组件中的副作用操作&#xff0c;如发送网络请求、订阅消息、手动修改 DOM 等。下面是 useEffect 的用法总结&#xff1a; 基本用法 import React, { useState, useEffect } from react;function Example() {cons…

使用UDP完成网络单词查询,利用dict数据库

【注】UDP的优缺点&#xff1a; 1&#xff1a;传输效率高 2&#xff1a;易出现数据丢失 3&#xff1a;以数据报的形式传输 思路&#xff1a; step1&#xff1a;获取客户端请求 step2&#xff1a;查询单词 step3&#xff1a;响应客户端 Client.py from socket import *SERVICE_…

Datacom HCIP笔记-MPLS协议 之二

在Ingress节点执行该命令时&#xff0c;触发所有的32位路由建立LDPLSP。 在Egress节点执行该命令时&#xff0c;触发本地32位路由建立LDPLSP&#xff0c; egress就是主机路由始发路由器 ingress就是主机路由非始发路由器 默认情况下&#xff1a;华为路由器仅为非物理接口主机路…

【C++11】initializer_list | 右值引用 | 完美转发

一切皆可列表{ }初始化 在C98,允许花括号{ } 对数组、结构体类型初始化。 class Data { public:Data(int y, int m, int d):_y(y), _m(m), _d(d){} private:int _y;int _m;int _d; };int arr[4]{0,1,2,3};//列表初始化 Data d1{2024,03,21};//列表初始化 C11允许通过{ } 初始化…

云数据库价格一瞥(华为云、百度智能云、腾讯云、阿里云)

最近&#xff0c;大家似乎和价格“磕”上了。本文仅考虑主流产品&#xff08; RDS MySQL、Redis &#xff09;的部分主流规格&#xff0c;对各家厂商的价格做一个对比&#xff0c;供参考。 TL;DR&#xff1a; 总体来看&#xff0c;各家云厂商价格趋于持平&#xff0c;部分主流商…

创建一个qt登录界面,密码账号正确转到窗口2,否则弹出对话框提示账号密码错误,窗口2有四个按键,三个按键可以朗读按键文本,第四个退出。

作业要求&#xff1a; 主函数&#xff1a; int main(int argc, char *argv[]) {QApplication a(argc, argv);Widget w;w.show();Form1 f;//连接窗口1的信号函数和窗口2打开的lambda函数Widget::connect(&w,&Widget::login,[&](){f.show();});return a.exec(); }窗…

无影云电脑不能连接到本机的调试串口的解决方案

目录 概述 解决方案 云端电脑中的操作 本地USBDK驱动程序的更新 概述 我从1月份开始使用阿里的无影云电脑进行嵌入式开发板的测试&#xff0c;主要的原因有两个&#xff1a;一是平时使用的笔记本资源过于紧张&#xff0c;二是方便移动办公&#xff0c;这样我只要平时拿着开…

Android 在xml 布局中如何嵌套 Jetpack Compose

最近在项目开发的过程中需要用到 Jetpack Compose&#xff0c;之前没有接触过Compose&#xff0c;所以项目一直没有用到Compose。通过查看官网发现Compose上手比较快&#xff0c;但是准备比较复杂的布局要转换成Compose 不是一件容易的事情。那有没有可能只是对成熟的项目中的x…

解锁阿里巴巴1688数据宝藏:API助力批量获取商品价格、标题、图片及库存

在数字化时代&#xff0c;数据已成为商业决策的重要依据。对于电商从业者来说&#xff0c;掌握商品的价格、标题、图片及库存等关键信息&#xff0c;是优化销售策略、提升竞争力的关键。阿里巴巴1688平台作为国内领先的B2B电商平台&#xff0c;其海量的商品数据为商家提供了丰富…

【机器学习300问】63、如何区分二分类、多分类和多标签分类?

在机器学习中&#xff0c;分类是指根据一系列特征将实例数据划分到预先定义的类别或者标签的监督学习任务。分类任务按照类别数量区分&#xff0c;可以细分为&#xff1a; 一、二分类&#xff08;Binary classification&#xff09; 二分类只有两个类别的分类&#xff0c;例如…

DRF的认证、权限、限流、序列化、反序列化

DRF的认证、权限、限流、序列化、反序列化 一、认证 1、直接用&#xff0c;用户授权 实现方法 编写 ->认证组件 应用组件 编写 ->认证组件 from rest_framework.authentication import BaseAuthentication from rest_framework.exceptions import AuthenticationF…

基于opencv的视觉巡线实现

前言 这段时间在和学弟打软件杯的比赛&#xff0c;有项任务就是机器人的视觉巡线&#xff0c;这虽然不是什么稀奇的事情&#xff0c;但是对于一开始不了解视觉的我来说可以说是很懵了&#xff0c;所以现在就想着和大家分享一下&#xff0c;来看看是如何基于opencv来实现巡线的…

34. UE5 RPG实现鼠标点击移动

在前面&#xff0c;我们实现过使用键盘按键wasd去实现控制角色的移动&#xff0c;现在&#xff0c;我们实现了InputAction按键触发&#xff0c;后面&#xff0c;实现一下通过鼠标点击地面实现角色移动。 我们将实现两种效果的切换&#xff0c;如果你点击地面快速松开&#xff0…

LeetCode 289.生命游戏————2024 春招冲刺百题计划

根据 百度百科 &#xff0c; 生命游戏 &#xff0c;简称为 生命 &#xff0c;是英国数学家约翰何顿康威在 1970 年发明的细胞自动机。 给定一个包含 m n 个格子的面板&#xff0c;每一个格子都可以看成是一个细胞。每个细胞都具有一个初始状态&#xff1a; 1 即为 活细胞 &am…