Summary of Several PHP Vulnerabilities You Need to Pay Attention to

Home

Backend Development

PHP Tutorial

Summary of Several PHP Vulnerabilities You Need to Pay Attention to_PHP Tutorial

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jul 21, 2016 pm 03:20 PM

phpphp.iniseveralNoticeloopholesofOptionsneed

Several PHP loopholes to pay attention to
Several important php.ini options
Register Globals
php>=4.2.0, the default value of register_globals option in php.ini is Off by default. When register_globals When set to On, the program can receive various environment variables from the server, including variables submitted by forms, and because PHP does not have to initialize the values of variables in advance, it leads to great security risks.
Example 1:

Copy code The code is as follows:

 
　 //check_admin() is used to check the current user permissions. If it is admin, set the $is_admin variable to true , and then determine whether this variable is true, and then perform some management operations 
 // ex1.php 
 
 if (check_admin()) 
 { 
 $is_admin = true; 
　} 
　if ($is_admin) 
　{ 
　do_something(); 
　} 
　?> 

　This code does not initialize $is_admin in advance Flase, if register_globals is On, then we can directly submit http://www.sectop.com/ex1.php?is_admin=true to bypass the verification of check_admin()
Example 2:

Copy code The code is as follows:

 
　//ex2.php 
　
　if (isset($_SESSION["username"])) 
　{ 
　do_something(); 
　} 
　else 
　{ 
　echo "You are not logged in yet!"; 
　} 
　?> 

Copy code The code is as follows:

 
　//ex1.php 
　
　$dir = $_GET[" dir"]; 
 if (isset($dir)) 
　{ 
 echo ""; 
 system("ls -al ".$dir); 
 echo ""; 
　} 
　?> 

　mixed eval(string code_str) //eval injection usually occurs when the attacker can control the input string
　/ /ex2.php

Copy code The code is as follows:

　
　$var = "var"; 
　if (isset( $_GET["arg"])) 
　{ 
 $arg = $_GET["arg"]; 
 eval("$var = $arg;"); 
 echo "$var = ".$var; 
　} 
　?> 

Statement

The content of this article is voluntarily contributed by netizens, and the copyright belongs to the original author. This site does not assume corresponding legal responsibility. If you find any content suspected of plagiarism or infringement, please contact admin@php.cn

如何在技嘉主板上设置键盘启动功能 (技嘉主板启用键盘开机方式)Dec 31, 2023 pm 05:15 PM

技嘉的主板怎么设置键盘开机首先，要支持键盘开机，一定是PS2键盘！！设置步骤如下：第一步：开机按Del或者F2进入bios，到bios的Advanced(高级)模式普通主板默认进入主板的EZ（简易）模式，需要按F7切换到高级模式，ROG系列主板默认进入bios的高级模式（我们用简体中文来示范）第二步：选择到——【高级】——【高级电源管理（APM）】第三步：找到选项【由PS2键盘唤醒】第四步：这个选项默认是Disabled（关闭）的，下拉之后可以看到三种不同的设置选择，分别是按【空格键】开机、按组

php怎么把负数转为正整数Apr 19, 2022 pm 08:59 PM

php把负数转为正整数的方法：1、使用abs()函数将负数转为正数，使用intval()函数对正数取整，转为正整数，语法“intval(abs($number))”；2、利用“~”位运算符将负数取反加一，语法“~$number + 1”。

CS玩家的首选：推荐的电脑配置Jan 02, 2024 pm 04:26 PM

1.处理器在选择电脑配置时，处理器是至关重要的组件之一。对于玩CS这样的游戏来说，处理器的性能直接影响游戏的流畅度和反应速度。推荐选择IntelCorei5或i7系列的处理器，因为它们具有强大的多核处理能力和高频率，可以轻松应对CS的高要求。2.显卡显卡是游戏性能的重要因素之一。对于射击游戏如CS而言，显卡的性能直接影响游戏画面的清晰度和流畅度。建议选择NVIDIAGeForceGTX系列或AMDRadeonRX系列的显卡，它们具备出色的图形处理能力和高帧率输出，能够提供更好的游戏体验3.内存电

主板上的数字音频输出接口-SPDIF OUTJan 14, 2024 pm 04:42 PM

主板上SPDIFOUT连接线序最近我遇到了一个问题，就是关于电线的接线顺序。我上网查了一下，有些资料说1、2、4对应的是out、+5V、接地；而另一些资料则说1、2、4对应的是out、接地、+5V。最好的办法是查看你的主板说明书，如果找不到说明书，你可以使用万用表进行测量。首先找到接地，然后就可以确定其他的接线顺序了。主板vdg怎么接线连接主板的VDG接线时，您需要将VGA连接线的一端插入显示器的VGA接口，另一端插入电脑的显卡VGA接口。请注意，不要将其插入主板的VGA接口。完成连接后，您可以

广联达软件是一家专注于建筑信息化领域的软件公司，其产品被广泛应用于建筑设计、施工、运营等各个环节。由于广联达软件功能复杂、数据量大，对电脑的配置要求较高。本文将从多个方面详细阐述广联达软件的电脑配置推荐，以帮助读者选择适合的电脑配置处理器广联达软件在进行建筑设计、模拟等操作时，需要进行大量的数据计算和处理，因此对处理器的要求较高。推荐选择多核心、高主频的处理器，如英特尔i7系列或AMDRyzen系列。这些处理器具有较强的计算能力和多线程处理能力，能够更好地满足广联达软件的需求。内存内存是影响计算

MySQL中.ibd文件的作用详解及相关注意事项Mar 15, 2024 am 08:00 AM

MySQL中.ibd文件的作用详解及相关注意事项MySQL是一种流行的关系型数据库管理系统，数据库中的数据存储在不同的文件中。其中，.ibd文件是InnoDB存储引擎中的数据文件，用于存储表中的数据和索引。本文将对MySQL中.ibd文件的作用进行详细解析，并提供相关代码示例以帮助读者更好地理解。一、.ibd文件的作用：存储数据：.ibd文件是InnoDB存

php怎么判断有没有小数点Apr 20, 2022 pm 08:12 PM

php判断有没有小数点的方法：1、使用“strpos(数字字符串,'.')”语法，如果返回小数点在字符串中第一次出现的位置，则有小数点；2、使用“strrpos(数字字符串,'.')”语句，如果返回小数点在字符串中最后一次出现的位置，则有。

php怎么设置implode没有分隔符Apr 18, 2022 pm 05:39 PM

在PHP中，可以利用implode()函数的第一个参数来设置没有分隔符，该函数的第一个参数用于规定数组元素之间放置的内容，默认是空字符串，也可将第一个参数设置为空，语法为“implode(数组)”或者“implode("",数组)”。

See all articles

Hot AI Tools

Undresser.AI Undress

AI-powered app for creating realistic nude photos

AI Clothes Remover

Online AI tool for removing clothes from photos.

Undress AI Tool

Undress images for free

Clothoff.io

AI clothes remover

AI Hentai Generator

Generate AI Hentai for free.

Hot Article

R.E.P.O. Energy Crystals Explained and What They Do (Yellow Crystal)

2 weeks agoBy尊渡假赌尊渡假赌尊渡假赌

How Long Does It Take To Beat Split Fiction?

1 months agoByDDD

R.E.P.O. Save File Location: Where Is It & How to Protect It?

1 months agoByDDD

R.E.P.O. Best Graphic Settings

2 weeks agoBy尊渡假赌尊渡假赌尊渡假赌

Assassin's Creed Shadows: Seashell Riddle Solution

1 weeks agoByDDD

Hot Tools

Dreamweaver CS6

Visual web development tools

ZendStudio 13.5.1 Mac

Powerful PHP integrated development environment

MinGW - Minimalist GNU for Windows

This project is in the process of being migrated to osdn.net/projects/mingw, you can continue to follow us there. MinGW: A native Windows port of the GNU Compiler Collection (GCC), freely distributable import libraries and header files for building native Windows applications; includes extensions to the MSVC runtime to support C99 functionality. All MinGW software can run on 64-bit Windows platforms.