[BT]小迪安全2023学习笔记(第17天:PHP开发-TP框架)

第17天

名词解释

ThinkPHP 是一个开源的、快速的、简单的面向对象的轻量级 PHP 框架,主要用于构建 Web 应用程序。它源自中国,旨在提供一个兼容性好、易于使用的 PHP 开发框架,使得 PHP 的开发更加快速和高效。ThinkPHP 遵循 MVC(模型-视图-控制器)设计模式,支持多种数据库系统,具有丰富的功能特性。

主要特性

  1. MVC 架构:
    ThinkPHP 采用 MVC 设计模式,有助于代码的模块化和组织,提高开发效率和可维护性。

  2. 多数据库支持:
    支持多种数据库,包括 MySQL、PostgreSQL、SQLite 等,使得开发者可以根据项目需求灵活选择数据库。

  3. 内置安全功能:
    提供了一系列的安全机制,如输入过滤、表单令牌、SQL 注入预防等,以提高应用的安全性。

  4. RESTful 支持:
    支持构建 RESTful 风格的 Web 服务。

  5. 模板引擎:
    内置了强大的模板引擎,使得前端页面的开发和后端代码更加分离。

  6. 缓存机制:
    提供了灵活的缓存机制,包括文件缓存、数据库缓存、内存缓存等,有助于提高应用性能。

  7. 扩展性:
    支持模块化和插件扩展,开发者可以根据需要增加或修改功能。

  8. 命令行工具:
    提供了命令行工具,方便进行应用的创建、管理和维护。

  9. 国际化和本地化:
    支持多语言开发,方便创建国际化应用。

  10. 社区支持:
    拥有活跃的社区和丰富的开发文档,便于开发者学习和解决开发中的问题。

如果网站或着网站的CMS按照框架官方要求的来写,比如SQL查询,那么一般都不太可能会被注入成功,因为框架安全性更高,除非是框架本身存在安全漏洞,但如果管理者虽然使用了框架,但并未按照官方的来写代码,那么也可能存在漏洞。

漏洞分析

如果知道框架和版本后可以直接在网上查询相关漏洞利用,而确定框架版本主要有以下几种方式:

  1. 访问不存在的网页查看错误信息,通过特有的错误返回信息确定版本和类型。
  2. 查看网页源代码。
  3. 如果是白盒测试,可以直接查看版本。
  4. 查看url分析类型,一般TP框架的url写法有一些固定的格式。

你可能感兴趣的:(小迪安全学习笔记,安全,学习,笔记)