ICode9

一、XSS 简介 XSS（Cross Site Scripting 跨站脚本攻击），指恶意攻击者通过向网站插入恶意payload或恶意脚本，从而盗取cookie、session信息以利用用户身份进行违规操作、盗取用户资料等等。 常见XSS漏洞分类 反射型XSS 存储型XSS DOM XSS 二、XSS漏洞成因 1、反射型XSS 网站对于用户提交

    一般情况下我们的网页代码集采用utf-8,php返回的错误信息的中文编码是GBK，就会导致无法正确显示中文的问题，这是我们可以用mb_convert_encoding($原字符串, "目标便编码","原编码")将返回信息的编码变成utf-8，这样就可以正常显示中文了。 1 <?php 2 header("Content-type:

1、找到php.ini,一般在/usr/local/etc/php/php.ini中，通过copy复制到宿主机之后去掉php_mysql.so前面的分号后上传 2、进入容器扩展安装目录/usr/local/bin 3、执行命令安装扩展 ./docker-php-ext-install mysql ./docker-php-ext-install mysqli 4、重启容器 docker restart

一、mysql与mysqli的概念相关： 1、mysql与mysqli都是php方面的函数集，与mysql数据库关联不大。 2、在php5版本之前，一般是用php的mysql函数去驱动mysql数据库的，比如mysql_query()的函数，属于面向过程 3、在php5版本以后，增加了mysqli的函数功能，某种意义上讲，它是mysql系统函数的增强版，更

sql注入的原理： 通过恶意的SQL语句插入到应用的输入参数中，再在后台数据库服务器上解析执行的攻击。   Web程序的三层结构： 界面层（ User Interface layer ） 业务逻辑层（ Business Logic Layer ） 数据访问层（ Data access layer ） 在软件体系架构设计中，分层式结构是最常见，也是最重要的一

盲注同于union select查询注入，盲注只能得到数据库回显的正确和错误，利用返回的正确和错误一个一个判断。 LOW 审计源码 <?php if( isset( $_GET[ 'Submit' ] ) ) { // 获取 id $id = $_GET[ 'id' ]; // 定义存在为 false $exists = false; // 判断数据库类型

PHP与MySQL的连接有三种方式，分别是：PHP的MySQL扩展 、PHP的mysqli扩展 、PHP数据对象(PDO) ，下面针对以上三种连接方式做下总结，以备在不同场景下选出最优方案。 1、PHP的MySQL扩展是设计开发允许php应用与MySQL数据库交互的早期扩展。MySQL扩展提供了一个面向过程的接口，并且是针

CSRF 文章目录 CSRFDVWA靶场的解释AboutObjective CSRF发生的过程phpok4.2.100 CSRF靶场1.利用服务端对客户端浏览器的信任,让用户点击钓鱼链接执行命令2.管理员上钩了3.中国菜刀或者中国蚁剑木马计 DVWA CSRF low页面逻辑构造请求 防御与绕过DVWA CSRF medium`$_SERVER`

ECShop 2.7.3版只支持PHP版本为PHP5.2，使用5.2以上版本的PHP会报各种Warning错误。为了让ECShop 2.7.3版支持的PHP5.4-PHP7.4需要下载我们2022最新补丁，100%完美彻底解决PHP高版本报错问题。全面兼容PHP5.4、PHP5.5、PHP5.6、PHP7.1、PHP7.2、PHP7.3以及最高PHP7.4版本，目前我们唯一

秒杀会产生一个瞬间的高并发，使用数据库会增加数据库的访问压力，也会降低访问速度，所以我们应该使用缓存，来降低数据库的访问压力； 可以看出这里的操作和原来的下单是不一样的：产生的秒杀预订单不会马上写入数据库，会先写入缓存，等用户支付成功时，修改状态，写入数据库。 假设num是存储在数

php-分页 可跳转下方网址学习： https://www.bilibili.com/video/BV1XJ411p7Bb?spm_id_from=333.1007.top_right_bar_window_custom_collection.content.click 分析 通过limit语句取出当前页面的数据 页码 SQL语句 1 select * from db limit 0,10 2 select * from db limit

1.连接数据库 $link = mysqli_connet("loaclhost","root","root","my2114") 1.增加：INSERT INTO 表名（字段一，字段二...）VALUSE（值1，值2...） <?php //增加 $sql = "INSERT INTO users(username,age) VALUSE('小王'，23)";

0x00-引言 困了 0x01-CSRF描述 CSRF（Cross-site request forgery，跨站请求伪造）也被称为One Client Attack或者Session Riding，通常缩写为CSRF和XSRF，是一种对网站的恶意利用。尽管听起像跨站脚本（XSS），但它与XSS非常不同，XSS利用站点内的信任的用户，而CSRF则通过伪装成受信任用户请求受信

打开一个到MySQL服务器的连接 mysqli_connect("主机","用户名","密码"); 如果成功则返回一个MySQL连接标识，失败返回false。脚本一结束，到服务器的连接就被关闭，除非之前已经明确调用mysql_close() 关闭了。 mysqli_pconnect() 和 mysql_connect() 主要区别 首先，当连接的时候本函

连接 1，使用二进制方式连接 mysql -u root -p 2，使用php脚本连接（mysqli_connect()) mysqli_connect(主机名，用户名，密码，默认使用的数据库，连接数据库的端口号，规定socket或者要使用的已命名的pipe); （1），使用mysqli_close()断开MySQL数据库的连接bool mysqli_close ( mysqli $link) 创

Brute Force（暴力破解） low 我们先查看代码 <?php if( isset( $_GET[ 'Login' ] ) ) { // Get username $user = $_GET[ 'username' ]; // Get password $pass = $_GET[ 'password' ]; $pass = md5( $pass ); // Check the

php MySQL 全是面向过程的 连接connect MySQLi 面向过程 使用mysqli_connect($servername, $username, $password) 通过mysqli_connect_error()报错 使用mysqli_close()关闭连接 $servername="localhost"; $username="root"; $password="654321"; $con=mysqli_connect

做ctfshow web10，感觉挺有意思的，记录下来 特殊的语法 在讲做题之前，先说一下mysql的几个特殊的语法 首先这是我们的users表 group by group by的作用就是将打印出来的表排序 例如： 最后输出一个排序后的结果，我添加了一个count(*)计数使其看的更明显 当然也可以去掉count(*) w

<?php echo ' <script src="bootstrap/bootstrap/js/jquery/2.0.0/jquery.min.js"></script> <link href="bootstrap/css/bootstrap/3.3.6/bootstrap.min.css" rel="stylesheet" /> <script src="bo

<?php echo ' <script src="bootstrap/bootstrap/js/jquery/2.0.0/jquery.min.js"></script> <link href="bootstrap/css/bootstrap/3.3.6/bootstrap.min.css" rel="stylesheet" /> <script sr

通过代码操作数据库 步骤： 1>链接数据库：需要链接的服务器，用户名和密码 2>选择哪个数据库 3>设置字符集 4>向对应的数据库插入、修改、更新、查询数据的相关命令 5>执行命令 <?php // 链接数据库：需要链接的服务器，用户名和密码 $connect= mysqli_connect("localhost","root","

最近给mysql 安装了个phpmyadmin,始终提示需要安装mysqli扩展,在网上找了很多方法都没用，最后终于看到一篇文章，解决了这一问题，原来是设置为相对路径无效。 1.在php.ini找到： extension_dir ="ext" 将相对路径更改为绝对路径 extension_dir = “C:\phpApache\php74\ext” 2.检查C

执行 sudo apt install php-mysqli来安装相关拓展， 根据提示以后需要执行 sudo apt install php7.4-mysql来替换以上命令。

简单实例 面向过程方式 // 创建数据库连接 $connect = mysqli_connect('127.0.0.1', 'root', 'root', 'test', 8889); // 判读是否连接成功了 if (!$connect) { echo '数据库连接失败<br>'; // 打印连接失败的原因 var_dump(mysqli_connect_error($conn

使用普通用户登陆 MySQL 服务器，你可能需要特定的权限来创建或者删除 MySQL 数据库，所以我们这边使用 root 用户登录，root 用户拥有最高权限。 在删除数据库过程中，务必要十分谨慎，因为在执行删除命令后，所有数据将会消失。   drop 命令删除数据库 drop 命令格式： drop database <数据库