phpstudy

在windows下安装的方法：（php.ini中openssl.dll扩展必须打开，且版本>=5.4） 方法一：使用安装程序 这是将 Composer 安装在你机器上的最简单的方法。 下载并且运行 Composer-Setup.exe ，它将安装最新版本的 Composer ，并设置好系统的 环境变量 ，因此你可以在任何目录下直接使用 composer 命令。 1.1 配置系统路径 要在控制台中使用 composer 命令，需要将Composer及PHP的可执行文件(.exe/.bat)所在目录配置到系统环境变量Path中。PHP对应的 php.exe 在XAMPP安装目录中找，Composer对应的 composer.bat 文件所在目录默认为 C:\ProgramData\ComposerSetup\bin 。这里不再赘述。 二、检测composer安装完成：直接新开窗口输入composer 修改composer配置文件： composer config -g repo.packagist composer https://packagist.phpcomposer.com composer -v 查看版本号 2、通过composer下载laravel5框架： 在phpStudy/WWW目录下，新建项目laravelProject文件夹

模拟高并发访问一个脚本：apache安装文件的bin/ab.exe可以模拟并发量 C:\phpStudy\Apache\bin>ab.exe -c 10 -n 10 http: // localhost/try.php // -c 模拟多少并发量 -n 一共请求多少次 http://请求的脚本 Mysql中的锁语法： LOCK TABLE 表名1 READ|WRITE, 表名2 READ|WRITE .................. 【锁表】 UNLOCK TABLES 【释放表】 Read:读锁|共享锁 ： 所有的客户端只能读这个表不能写这个表 Write:写锁|排它锁： 所有当前锁定客户端可以操作这个表，其他客户端只能阻塞 注意：在锁表的过程中只能操作被锁定的表，如果要操作其他表，必须把所有要操作的表都锁定起来！ PHP中的文件锁 ： 文件锁的文件与表有什么关系？：一点关系也没有，与令牌相似，谁拿到谁操作。所以表根本没锁。 测试时，有个文件就行，叫什么名无所谓 总结： 项目中应该只使用PHP中的文件锁，尽量避免锁表，因为如果表被锁定了，那么整个网站中所有和这个表相关的功能都被拖慢了（例如：前台很多用户一直下订单，商品表mysql锁表，其他与商品表相关的操作一直处于阻塞状态【读不出来商品表】，因为一个功能把整个网站速度拖慢）。 比如在一个O2O外卖项目中，中午12-2点

一句话木马 <?php @eval($_POST['key']); ?> /*eval( phpcode) eval() 函数把字符串按照 PHP 代码来计算。 该字符串必须是合法的 PHP 代码，且必须以分号结尾。*/ 通常是由于对上传文件的类型、内容没有进行严格的过滤、检查，使得攻击者可以通过上传木马获取服务器的webshell权限，因此文件上传漏洞带来的危害常常是毁灭性的，Apache、Tomcat、Nginx等都曝出过文件上传漏洞。 Low basename(path,suffix) 函数返回路径中的文件名部分，如果可选参数suffix为空，则返回的文件名包含后缀名，反之不包含后缀名。 我们看到服务器对上传的文件类型、内容或是文件大小都没有做任何的检查、过滤，存在明显的文件上传漏洞，生成上传路径后，服务器会检查是否上传成功并返回相应提示信息。 这段代码的核心就是验证是否有接收文件（$_POST[‘Upload’]） $target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"; DVWA_WEB_PAGE_TO_ROOT=E:\phpStudy2019_64\phpstudy_pro\WWW\DVWA $target_path=E:\phpStudy2019_64\phpstudy_pro\WWW\DVWA

ThinkPHP6.0学习之安装及问题解决 　　ThinkPHP6.0开发版已经上线了，我已经等了他很久了，现在写一个系列来记录Thinkphp6.0的使用，我们现在从安装开始学习吧。 　　首先我们要确定ThinkPHP的环境要求，PHP最低要求是7.1.0，所以我们需要安装一个版本高于或同等于7.1.0的PHP版本，我知道怎么安装的可以看我以前的博客，也可以直接使用phpstudy，安装很方便的，这里就不详细说了，可以自己去了解更多的。 安装ThinkPHP需要先安装composer，这里我也不多讲了，安装可以在ThinkPHP6.0手册就有详细的教程，我这里就讲一讲网站搭建和一些问题的解决吧。ThinkPHP6.0手册： https://www.kancloud.cn/manual/thinkphp6_0/1037479 我们将我们的ThinkPHP6.0下载下来之后，我们就需要将环境搭建起来，首先需要安装一些phpstudy，安装好后我们需要安装PHP7.1.0以上的版本 安装好后，我们就去搭建网站了 location / { if (!-e $request_filename){ rewrite ^(.*)$ /index.php?s=$1 last; break; } } 　　这样就可以创建一个网站出来了，确认后，我们需要重启一下apache或者是nginx

SQL Injection ，即 SQL 注入， SQLi ，是指攻击者通过注入恶意的 SQL 命令，破坏 SQL 查询语句的结构，从而达到执行恶意 SQL 语句的目的。 SQL 注入漏洞的危害巨大，常常会导致整个数据库被“脱裤”，如今 SQL 注入仍是现在最常见的 Web 漏洞之一。 SQL 注入分类： 按 SQLMap 中的分类来看， SQL 注入类型有以下 5 种： UNION query SQL injection（可联合查询注入） Stacked queries SQL injection（可多语句查询注入） Boolean - based blind SQL injection（布尔型注入） Error - based SQL injection（报错型注入） Time -based blind SQL injection（基于时间延迟注入） SQL 注入常规利用思路： 1 、寻找注入点，可以通过 web 扫描工具实现 2 、通过注入点，尝试获得关于连接数据库用户名、数据库名称、连接数据库用户权限、操作系统信息、数据库版本等相关信息。 3 、猜解关键数据库表及其重要字段与内容（常见如存放管理员账户的表名、字段名等信息） 4 、可以通过获得的用户信息，寻找后台登录。 5、利用后台或了解的进一步信息，上传 webshell 或向数据库写入一句话木马，以进一步提权

File Inclusion，意思是文件包含（漏洞），是指当服务器开启allow_url_include选项时，就可以通过php的某些特性函数（include()，require()和include_once()，require_once()）利用url去动态包含文件，此时如果没有对文件来源进行严格审查，就会导致任意文件读取或者任意命令执行。 文件包含漏洞分为本地文件包含漏洞与远程文件包含漏洞，远程文件包含漏洞是因为开启了php配置中的allow_url_fopen选项（选项开启之后，服务器允许包含一个远程的文件）。 文件包含时,不管包含的文件是什么类型，都会优先尝试当作php文件执行，如果文件内容有php代码，则会执行php代码并返回代码执行的结果,如果文件内容没有php代码,则把文件内容打印出来 Low 漏洞利用 1.本地文件包含 构造url： http://192.168.0.104/dvwa/vulnerabilities/fi/?page=/etc/shadow 报错，显示没有这个文件，说明不是服务器系统不是Linux，但同时暴露了服务器文件的绝对路径为E:\phpStudy2019_64\phpstudy_pro\WWW 构造url（绝对路径）： http://192.168.0.104/dvwa/vulnerabilities/fi/?page=E:

【今日推荐】：为什么一到面试就懵逼！>>> Windows下Dvwa靶场环境配置（网络攻防） 本靶场是结合phpstudy和dvwa进行sql注入等网络攻防方面的学习，相关软件和压缩包请前往官网下载，在这里就不列举官网网址了。不同的问题有不同的解决方法，我在这里出现了一些，未在网上搜到的解决方法，所有在此展示一下。 phpstudy说明 开启这两个服务 dvwa 说明 在官网上下载完压缩包之后，再解压到p的www目录下，然后把解压后的压缩包（dvwa-master）改名为dvwa 登陆 使用网址http://127.0.0.1/dvwa/index.php 问题报错 有两个报错问题一个是”could not connect *****the config file.” 第二个报错问题为”your database user *******README.md file.” 其中，一定要注意红字部分 出现这种情况，我是把MySQL下载了，如果还不行，就phpstudy和dvwa卸载了，重新下 修改 修改php.ini文件中的编辑 修改config.inc.php中的编辑 一定要修改用户名和密码和端口（端口处要根据自己电脑上的配置来定），是问题中的第二个问题的解决方法。 关闭MySQL服务 在这个地方适用与本来电脑中就下载MySQL软件，因为phpstudy中也下载MySQL

【今日推荐】：为什么一到面试就懵逼！>>> Windows下Dvwa靶场环境配置（网络攻防） 本靶场是结合phpstudy和dvwa进行sql注入等网络攻防方面的学习，相关软件和压缩包请前往官网下载，在这里就不列举官网网址了。不同的问题有不同的解决方法，我在这里出现了一些，未在网上搜到的解决方法，所有在此展示一下。 phpstudy说明 开启这两个服务 dvwa 说明 在官网上下载完压缩包之后，再解压到p的www目录下，然后把解压后的压缩包（dvwa-master）改名为dvwa 登陆 使用网址http://127.0.0.1/dvwa/index.php 问题报错 有两个报错问题一个是”could not connect *****the config file.” 第二个报错问题为”your database user *******README.md file.” 其中，一定要注意红字部分 出现这种情况，我是把MySQL下载了，如果还不行，就phpstudy和dvwa卸载了，重新下 修改 修改php.ini文件中的编辑 修改config.inc.php中的编辑 一定要修改用户名和密码和端口（端口处要根据自己电脑上的配置来定），是问题中的第二个问题的解决方法。 关闭MySQL服务 在这个地方适用与本来电脑中就下载MySQL软件，因为phpstudy中也下载MySQL

【今日推荐】：为什么一到面试就懵逼！>>> Windows下Dvwa靶场环境配置（网络攻防） 本靶场是结合phpstudy和dvwa进行sql注入等网络攻防方面的学习，相关软件和压缩包请前往官网下载，在这里就不列举官网网址了。不同的问题有不同的解决方法，我在这里出现了一些，未在网上搜到的解决方法，所有在此展示一下。 phpstudy说明 开启这两个服务 dvwa 说明 在官网上下载完压缩包之后，再解压到p的www目录下，然后把解压后的压缩包（dvwa-master）改名为dvwa 登陆 使用网址http://127.0.0.1/dvwa/index.php 问题报错 有两个报错问题一个是”could not connect *****the config file.” 第二个报错问题为”your database user *******README.md file.” 其中，一定要注意红字部分 出现这种情况，我是把MySQL下载了，如果还不行，就phpstudy和dvwa卸载了，重新下 修改 修改php.ini文件中的编辑 修改config.inc.php中的编辑 一定要修改用户名和密码和端口（端口处要根据自己电脑上的配置来定），是问题中的第二个问题的解决方法。 关闭MySQL服务 在这个地方适用与本来电脑中就下载MySQL软件，因为phpstudy中也下载MySQL

第一步，user权限配置，网上大多数教程都是停留在这一步，不赘述了（phpstudy有个快捷方式，一键修改） 第二步，放开windows防火墙中的进入端口限制（防火墙->高级设置->进入规则->端口3306） 第三步，在腾讯云控制台的安全组里放开3306端口的进入规则。 此处吐槽一下，貌似控制台有点bug，多试几次…… 来源： oschina 链接： https://my.oschina.net/u/4314216/blog/3229122