仓酷云

标题: PHP编程:PHPShop存在的平安破绽 [打印本页]
作者: 莫相离    时间: 2015-2-4 00:09
标题: PHP编程:PHPShop存在的平安破绽
在这里想谈谈自己这六个多月的PHP学习心得,希望对给比我还新的新手们有所帮助,讲的不是很深刻,甚至有的想法可能是错误的,希望不要误导新人才好,大家要有自己的主见。平安|平安破绽   受影响体系:
  phpShop phpShop 0.6.1-b

  具体描写:

  phpShop是一款基于PHP的电子商务法式,可便利的扩大WEB功效。phpShop存在多个平安成绩,近程进击者可以使用这些破绽进击数据库,取得敏感信息,履行恣意剧本代码。

  详细成绩以下:

  1、SQL注入破绽:

  当更新会话时存在一个SQL注入成绩,可以对"page"变量提反目意SQL号令而修正原有SQL逻辑,一样对"product_id"和"offset"变量停止注入也存在一样成绩。

  2、用户信息泄漏破绽:

  经由过程查询"account/shipto"模块,可取得大批客户信息。假如用户以正当帐户登录,也能够检查办理员信息。这些信息包含客户的地址,公司名等等信息。

  3、跨站剧本履行进击:

  多个参数对用户提交的URI参数短少充实过滤,提交包括歹意HTML代码的数据,可招致触发跨站剧本进击,能够取得方针用户的敏感信息。

  今朝厂商还没有供应补钉或晋级法式。
PHP成功的插入,删除,更新数据的时候,显然,你已经距离成功指日可待了。
作者: 冷月葬花魂    时间: 2015-2-4 09:34
当然这种网站的会员费就几十块钱。
作者: 因胸联盟    时间: 2015-2-9 21:31
其实没啥难的,多练习,练习写程序,真正的实践比看100遍都有用。不过要熟悉引擎
作者: 莫相离    时间: 2015-2-27 22:17
做为1门年轻的语言,php一直很努力。
作者: 飘飘悠悠    时间: 2015-3-9 14:47
这些都是最基本最常用功能,我们这些菜鸟在系统学习后,可以先对这些功能深入研究。
作者: 小女巫    时间: 2015-3-11 12:22
小鸟是第一次发帖(我习惯潜水的(*^__^*) 嘻嘻……),有错误之处还请大家批评指正,另外,前些日子听人说有高手能用php写驱动程序,真是学无止境,人外有人,天外有天。
作者: 谁可相欹    时间: 2015-3-18 10:38
最后祝愿,php会给你带来快乐的同时 你也会给他带来快乐。
作者: 柔情似水    时间: 2015-3-18 18:51
这些中手常用的知识,当你把我说的这些关键字都可以熟练运用的时候,你可以选择自己
作者: 兰色精灵    时间: 2015-3-26 10:32
建议加几个专业的phper的群,当然啦需要说话的人多,一处一点问题能有人回答你的,当然啦要让人回答你的问题,平时就得躲在里面聊天,大家混熟啦,愿意回答你问题的人自然就多啦。
作者: 透明    时间: 2015-4-7 13:56
装在C盘下面可以利用windows的ghost功能可以还原回来(顺便当做是重转啦),当然啦我的编译目录要放在别的盘下,不然自己的劳动成果就悲剧啦。
作者: 金色的骷髅    时间: 2015-4-11 03:09
建数据库表的时候,int型要输入长度的,其实是个摆设的输入几位都没影响的,只要大于4就行,囧。
作者: 老尸    时间: 2015-4-12 15:19
首推的搜索引擎当然是Google大神,其次我比较喜欢 百度知道。不过搜出来的结果往往都是 大家copy来copy去的,运气的的概率很大。
作者: 精灵巫婆    时间: 2015-4-12 17:59
其实没啥难的,多练习,练习写程序,真正的实践比看100遍都有用。不过要熟悉引擎
作者: 仓酷云    时间: 2015-4-17 01:59
首先声明:我是一个菜鸟,是一个初学者。学习了一段php后总是感觉自己没有提高,无奈。经过反思我认为我学习过程中存在很多问题,我改变了学习方法后自我感觉有了明显的进步。
作者: admin    时间: 2015-4-24 00:43
首先我是坚决反对新手上来就用框架的,因为对底层的东西一点都不了解,造成知识上的真空,会对以后的发展不利。我的观点上手了解下框架就好,代码还是手写。当然啦如果是位别的编程语言的高手的话,这个就另当别论啦。
作者: 小魔女    时间: 2015-4-26 17:41
我要在声明一下:我是个菜鸟!!我对php这门优秀的语言也是知之甚少。但是我要在这里说一下php在网站开发中最常用的几个功能:
作者: 山那边是海    时间: 2015-4-29 12:06
小鸟是第一次发帖(我习惯潜水的(*^__^*) 嘻嘻……),有错误之处还请大家批评指正,另外,前些日子听人说有高手能用php写驱动程序,真是学无止境,人外有人,天外有天。
作者: 深爱那片海    时间: 2015-4-30 07:58
先学习php和mysql,还有css(html语言很简单)我认为现在的效果比以前的方法好。
作者: 再现理想    时间: 2015-5-1 02:11
使用 jquery 等js框架的时候,要随时注意浏览器的更新情况,不然很容易发生框架不能使用。
作者: 灵魂腐蚀    时间: 2015-6-16 12:39
至于模板嘛,各位高人一直以来就是争论不休,我一只小菜鸟就不加入战团啦,咱们新手还是多学点东西的好。
作者: 不帅    时间: 2015-6-18 09:17
没接触过框架的人,也不用害怕,其实框架就是一种命名规范及插件,学会一个框架其余的框架都很好上手的。



欢迎光临 仓酷云 (http://ckuyun.com/) Powered by Discuz! X3.2