6.php开发-个人博客项目&Tp框架&路由访问&安全写法&历史漏洞

目录

知识点

php框架——TP

URL访问

Index.php-放在控制器目录下

​编辑

Test.php--要继承一下

带参数的——————

加入数据库代码

--不过滤

--自己写过滤

--手册（官方）的过滤

用TP框架找漏洞：

如何判断网站是thinkphp？

黑盒：

白盒：

php总结

---

---

​

知识点

1-基于TP框架入门安装搭建使用

2-基于TP框架内置安全写法评估

3-基于TP框架实例源码安全性评估

​

---

​

php框架——TP

（写法看官方，看手册）

thinkphp官网：

https://www.thinkphp.cn/

(yellow---多TP框架开发)

​

---

​

URL访问

文件/目录/控制器/方法

文件/目录/控制器/方法.html (要看具体配置支不支持)

文件?s=index/控制器/方法

index.php/index/Index/index

ThinkPHP 5.0 在没有启用路由的情况下典型的  URL访问规则是：
​
http://serverName/index.php（或者其它应用入口文件）/模块/控制器/操作/[参数名/
​
​


http://localhost/index.php/Index/Blog/read
            
// 和下面的访问是等效的
​
http://localhost/index.php/index/blog/read

--用别的文件需要继承一下——extends Controller

Index.php-放在控制器目录下

*{ padding: 0; margin: 0; } .think_default_text{ padding: 4px 48px;} a{color:#2E5CD5;cursor: pointer;text-decoration: none} a:hover{text-decoration:underline; } body{ background: #fff; font-family: "Century Gothic","Microsoft yahei"; color: #333;font-size:18px} h1{ font-size: 100px; font-weight: normal; margin-bottom: 12px; } p{ line-height: 1.6em; font-size: 42px }
 
:)
 ThinkPHP V5
十年磨一剑 - 为API开发设计的高性能框架
[ V5.0 版本由 七牛云 独家赞助发布 ]
';
    }
    public function kk()
    {
        echo 123;
    }
}

Test.php--要继承一下

带参数的——————

文件/目录/控制器/方法?x=1

文件/目录/控制器/方法/x/1

​

---

​

加入数据库代码

——配置数据库--config.php 和 database.php

--不过滤

--自己写过滤

--手册（官方）的过滤

——按照手册写法，也不能注入——说明人家已经有过滤了

--34，49,50行都会过滤

————分析代码写法，如果都是按照手册（官方）的写法，————其实就是在找框架的漏洞。

————分析程序的漏洞——是否按照官方写，框架本身有没有漏洞。

————面对框架 还是面对人~~~

​

---

​

用TP框架找漏洞：

——1-看写法 (是否按照官方)

——2-看历史漏洞--版本！ （THINK_VERSION)

THINK_VERSION

————根据版本看漏洞！

框架--简单容易上手--安全--难绕过

​

---

​

如何判断网站是thinkphp？

黑盒：

--看审查元素 看返回的数据包，X-Powered By

--指纹搜索

--报错信息 url地址，

插件：Wappalyzer 判断TP

白盒：

看源码配置文件 --版本--写法

​

---

​

php总结