PHP网页设计记一次对php聊天室的进击

一下弹出N多页面!很明显，你的留言本并没有做好安全防范，被人用JS代码小小的耍了一下，我很同情你这个时候的感受，但是没有别的办法了，继续努力吧!进击|聊天室   记一次对php聊天室的进击
讲话者:kent 讲话工夫:2001-09-10 15:17:56
摘自：晓风创意
原作者：eastdark

--------------------------------------------------------------------------------

网友“小好”给我了一个聊天室ip，让我去看看。本来想入侵它的办事器，也许手艺没抵家，弄了十几分钟，也没有出来。因而，我就想找找这个聊天室有甚么BUG。聊天室看得出是用PHP+MySQL组建的。栏目有：用户注册、 健忘暗码、 修正材料、 用户他杀、 聊 神 榜、 聊天申明、 刷新列表 。接着就是聊天了。
我随意注册了一个用户名，依照我的喜欢，喜好开xxxxxx用户，如许，我就用xxxxxx注册了一个用户。上岸出来。
从哪儿下手呢？我想仍是先看看修正材料，普通聊天室这里总有如许那样的破绽。点了一下修正材料，因而就进入下一画面，需求输出用户名和奥密。输好了后，下一步，进入材料修正。YES!材料修正中有效户昵称，其实就是用户名，即刻检查源文件，看到以下的HMTL语句：
=================================================cut===========
<form name="ezchat" action="modifyed.php" method="post" enctype="multipart/form-data">

<input type="hidden" name="active" value="change">

<input type="hidden" name="user_name" value="xxxxxx">

<input type="hidden" name="user_passwd_t" value="xxxxx">

<table cellspacing=1 cellpadding=2 width="675" border=0 align=center bgcolor="#FFFFFF">

<tr align=center bgcolor="#FFD193">

<td colspan="4" height="22">用户材料</td>

</tr>

<tr align=center bgcolor="#FFEACE">

<td width="20%" height="22">

<div align="left">用户昵称：<font color="#FF0000"><b>*</b></font></div>

</td>
<td width="30%" height="22">

<div align="left">

<input type="text" name="user_name_1" readonly class="input" value="xxxxxx">

</div>

</td>
==========================================end==================
很分明，个中的两个hidden是用来判别你是不是有修正材料的权限，可是，这团体没想到的是放了一个readnly的输出框其实不平安，就像上一次一个asp服装论坛一样，readonly其实不能处理甚么。依照常规，我存了这个文件，其实不修正两个hidden，把readonly去失落。然后到聊神榜随意看了个用户名。修正form的action，记得要在后面加上url途径，然后改失落这个用户昵称。按下“修正”号令，呈现了甚么？
=========================================
修正胜利

祝贺您，您已胜利修正材料 \^_^/

==========================================
哈哈，如许我就争取了一个用户名.固然没有入侵它的办事器，但却也能弄到好的用户名，这总算也不白搭了工夫。总结一下，碰到提交表单的时分，咱们可以想一下可否修正表单的值来到达办理员所想不到的目标。这也是培育咱们察看才能的好办法！：）

  当然你可以把你最基本的功能放出来的时候就放出来，比如放到论坛上，让大家都参与，

对于懒惰的朋友，我推荐php的集成环境xampp或者是wamp。这两个软件安装方便，使用简单。但是我还是强烈建议自己动手搭建开发环境。

本人接触php时间不长，算是phper中的小菜鸟一只吧。由于刚开始学的时候没有名师指，碰过不少疙瘩，呗很多小问题卡过很久，白白浪费不少宝贵的时间，在次分享一些子的学习的心得。

个人呢觉得，配wamp 最容易漏的一步就是忘了把$PHP$目录下的libmysql.dll拷贝到windows系统目录的system32目录下，还有重启apache。

要进行开发，搭建环境是首先需要做的事，windows下面我习惯把环境那个安装在C盘下面，因为我配的环境经常出现诡异事件，什么事都没做环境有的时候就不能用啦。

我要在声明一下：我是个菜鸟！！我对php这门优秀的语言也是知之甚少。但是我要在这里说一下php在网站开发中最常用的几个功能：

我学习了一段时间后，我发现效果并不好（估计是我自身的问题）。因为一个人的精力总是有限的，同时学习这么多，会导致每个的学习时间都得不到保证。

遇到出错的时候，我经常把错误信息直接复制到 google的搜索栏，一般情况都是能搜到结果的，不过有时候会搜出来一大片英文的出来，这时候就得过滤一下，吧中文的弄出来，挨着式方法。

实践是检验自己会不会的真理。

爱上php，他也会爱上你。

php是动态网站开发的优秀语言，在学习的时候万万不能冒进。在系统的学习前，我认为不应该只是追求实现某种效果，因为即使你复制他人的代码调试成功，实现了你所期望的效果，你也不了解其中的原理。

这些中手常用的知识，当你把我说的这些关键字都可以熟练运用的时候，你可以选择自己

本人接触php时间不长，算是phper中的小菜鸟一只吧。由于刚开始学的时候没有名师指，碰过不少疙瘩，呗很多小问题卡过很久，白白浪费不少宝贵的时间，在次分享一些子的学习的心得。

对于懒惰的朋友，我推荐php的集成环境xampp或者是wamp。这两个软件安装方便，使用简单。但是我还是强烈建议自己动手搭建开发环境。

我还是强烈建议自己搭建php环境。因为在搭建的过程中你会遇到一些问题，通过搜索或是看php手册解决问题后，你会更加深刻的理解它们的工作原理，了解到php配置文件中的一些选项设置。

有时候汉字的空格也能导致页面出错，所以在写代码的时候，要输入空格最好用引文模式。

使用zendstdio 写代码的的时候，把tab 的缩进设置成4个空格是很有必要的

先学习php和mysql,还有css(html语言很简单)我认为现在的效果比以前的方法好。

首推的搜索引擎当然是Google大神，其次我比较喜欢 百度知道。不过搜出来的结果往往都是 大家copy来copy去的，运气的的概率很大。

环境搭建好,当你看见你的浏览器输出“it works\\\\\\\"时你一定是喜悦的。在你解决问题的时候，我强烈建议多读php手册。