php漏洞了怎么处理

1、php漏洞了怎么处理，一般程序员与黑客Hacker？

程序员和黑客有着共同之处，也存在着不同之处，两者并不属于同一个领域 。程序员是根据项目需求完成所需要的功能，而黑客则是不择手段去攻击一个目标，这个目标可能是一个网站，也可能是一个app、也可能是一个主机。所以二者并不能一概而论。下面我分别介绍黑客、程序员、及他们的异同点，希望能更好的帮助你理解二者。

黑客

黑客包括逆向工程师、渗透测试工程师、脚本小子、代码审计工程师。

1）逆向工程师，通过反向思维去还原系统、app、物体等的开发过程或者制造过程。这类人对操作系统底层比较擅长，如Windows、macOS、Linux、安卓等。当然多数逆向工程师都是对一个方向比较精通，对其他领域属于略知一二。(比如擅长Windows逆向，对Linux、安卓逆向、渗透测试、代码审计属于了解)。

2）渗透测试工程师，是指通过对指定目标进行信息收集、威胁建模、漏洞分析、渗透测试攻击阶段、后渗透攻击阶段。这类人主要是通过分析应用、主机、数据库等方式去发掘漏洞，并通过该漏洞取得系统权限，主要对各种开发语言的特性、数据库、操作系统、网络端口、网络协议等比较了解。主要是写一些POC、exp进行漏洞验证。

3）代码审计工程师，属于白盒测试，主要是通过分析应用系统的源代码在系统上线之前发现系统中存在的安全隐患。这类人主要是即对各种应用系统中存在的原理比较了解同时也对某一种或多种语言的开发过程也比较了解。

4）脚本小子，属于通过网上现成的工具去攻击的一类人。擅长工具使用，对原理和代码都不懂。

程序员

程序员包括前端、后端、全栈工程师等不同领域。

前端主要负责展现炫酷的视觉效果，主要是负责前端展示的部分 。

后端主要负责功能的实现。

全栈工程师前端后端全部都会

黑客与程序员共同之处

1、程序员和黑客都要懂得代码，会写代码（脚本小子除外）。

2、程序员和黑客(安全从业人员都属于IT这个大范围)。

3、顶级程序员也会懂得安全（黑客方面的技术），做到顶级肯定要考虑安全因素，其实目前大部分的系统都要考虑安全因素。

黑客与程序员不同之处

1、黑客擅长除了代码还包括操作系统、网络、端口、硬件等属于不同领域的跨度；程序员更侧重于某类开发语言的深度学习。个人认为黑客知识更加的广，但是程序员的某一类的精(单指语言)。

2、黑客擅长的是破坏，程序员擅长的是建造(我指的建造并不是说建造的是安全的建筑) 。

3、黑客是对信息的收集分析与利用。

4、黑客其实也算是给程序员找麻烦的，找到漏洞你得修。

希望你能够帮助到你！

2、三者怎么选择？

高考志愿填报，先选学校or先选城市？聪明人这样做！

火热的六月，激情的高考。每届高三毕业生的六月都是不平凡的，高考是一次有关梦想的青春洗礼，更是一场自我成长的博弈，高考虽已结束，接下来的选择同样重要。高考志愿的填报不管对考生或是家长来说都是一件重要的事，很多时候难以抉择，对于未来学习的城市、专业、学校，到底该怎么选择呢？优路银行通小编就和大家分享一些关于高考志愿选择的认识。

关于城市、学校、专业的选择，不同的群体、不同的人生追求都有不一样的决定。首先说说城市，你大学所在的城市将深刻影响你的视野，进而潜移默化你的人生方向。如果你选择的专业是目前最新潮的专业，那么选择北上广深这些一线城市对你的学习、就业都会有很大帮助。如果你立志要在大城市闯下一片天地，混不成名誓不还，那我也建议你首先选择将来愿意奋斗于此的城市，你大学几年养成的人脉圈子和你在这个城市的的生活经历都对你早日在此立足有很大帮助。如果你毕业后准备回家乡或者去出国留学深造，那么你大学所在城市的意义就显得没有那么重要了，重心要放在专业和学校上了。

第二关于学校，好大学的优势在于社会知名度高，学术水平好，教育资源雄厚，学生能力强，就业容易，所以有人说学校决定就业门槛。如果你有能力考上顶尖的大学，比如985、211类的，那么只要专业你可以接受，就大胆地去吧！因为这个学校环境能给你提供的平台和资源是其他学校不能比的，而且真不行的话，还可以转专业，而且对于读研、读博都有帮助。如果你的分数一般的话，那就要把好钢用在刀刃上了，如果在两个水平差不多的院校之间选择，那么就重点考虑专业吧！

第三关于专业的选择，城市好住，大学好听，专业好用。不管城市也好，学校也好，我们最终要学习的是我们的专业，毕业后我们工作中用到的很多也是我们的专业。很多人在选择专业时候都会考虑两点，一是个人兴趣、二是就业前景。很多家长都会考虑让孩子选择热门专业，方便以后的就业。我的观点则是兴趣比就业前景更重要。第一所谓的热门专业只是目前热门，五年、十年之后，谁又敢保证它一定是热门专业？第二即使热门专业，假如不适合孩子，那一定就是好的选择吗？如果孩子对专业没有任何兴趣，让他终身做一件不喜欢的事情，又有什么意义呢？正如龙应台在《孩子，我为什么要求你读书？》中所写：假如横在你眼前的选择是到华尔街做银行经理或者到动物园做照顾狮子河马的管理员，而你是一个喜欢动物研究的人，我就完全不认为银行经理比较有成就，或者狮子河马的管理员“平庸”。第三现在的社会发展越来越多元，三百六十行，行行出状元，不管哪一行业，只要能做到极致，都是有前景的，十年前又有几人能想到近年来兴起的旅游体验师月薪都是上万。所以在选择专业的时候，请各位考生自问一下，有没有真正喜欢的专业，如果有，那就不要犹豫，选你自己喜欢的。如果目前没有特别喜欢的，那也要排除掉自己不喜欢的，在靠近兴趣的基础上，再选择就业前景好的专业。

大学只是起点，人生才刚刚开始，各位在选择的时候，也不要有太大压力，毕竟未来是不确定的，冷静、理性顺其自然就好，优路银行通祝各位考生都找到最适合自己的选择。

城市，学校，专业，你怎么选？

3、都用的是php写的源码？

第一 PHP语言本身漏洞相当多，尤其是很多人不喜欢用最新版本，现在PHP8都发布了，现在竟然还有一大批人用PHP5.2， 越早的版本漏洞越多。 漏洞多自然就好做渗透。

第二 PHP web框架漏洞也非常多。 国内最常用的PHP框架 thinkphp经常爆出各种严重漏洞，比如5.x的远程可执行命令漏洞，导致大量使用此框架的网站中招。 这个漏洞利用之容易，做个程序可以随便感染一大批网站。 有的人利用这个漏洞拿到的肉鸡多到自己都数不过来。

反观Java web， 大多数人都会用sprint 全家桶。 而Spring MVC 和Spring security提供的安全认证，起安全性都是非常强的。

虽然Spring也出一些漏洞，但是我印象中还没有出过非常容易利用，非常简单就能拿到最高权限的傻瓜式漏洞。

第三 网上劣质php源码最多。 很多人是根本不具备独立编程能力的，这些所谓的“程序员”最喜欢干的事是去网上下载各种免费源码，然后改吧改吧就算自己做了网站了。

这种免费源码，以PHP居多。什么的dede CMS，什么xxshop，xxmall，微盟， 这里垃圾PHP源码简直是千疮百孔，漏洞百出。可以说是黑客们的最爱。 用这类垃圾源码最的网站，随便一个中学生捣鼓捣鼓就能入侵， 简直和裸奔没啥区别。

同时，会用这些垃圾代码做网站的程序员，一般水平都不会太高，按理说连编程入门都算不上。这些所谓程序自然根本无法做到防止黑客入侵。

第四 很多人安全意识太差。 不管你用什么语言做网站，大多都要在网站程序外在跑一个Nginx，apache，或者IIS。 即使使用Java， Nginx 做反向代理+静态处理，后面再加tomcat的构架也很多。

凡是，很多人要么是技术不到位，要么是偷懒，不去自己编译tomcat或者apache，而是用网上现成的的一键安装包或者傻瓜安装程序。这些程序可能会默认安装PHP支持。

也就是说，一些安全意识不强或者水平比较差的程序员编写的java web 很有可能也会支持PHP。

很多人在入侵提权的时候，不管你是什么网站，都会先试一下PHP能不能执行，入侵几率比较高。

关于最后一个问题， 如果你找到了Java web的漏洞，可以上传文件了， 下一步要做的就是提权。这个时候你直接上传Java源代码是没有用的。 php是动态执行的，源码可以直接被执行，而Java则需要编译。

拿到上传权限后想提权，就必须先弄清楚对方服务器的jre版本，然后再本地用相应的版本编译后，再把jar包传上去，才能够执行。

这里还有一个不同，一般php提权，只需要拿到网站根目录的上传权限即可。 但是Java web 很有可能网站的根目录，和存放可执行jar包的目录不是一个目录，想要执行Java代码，你就必须想法拿到jar包所在目录的上传权限（同时也要拿到网站根目录权限），这是一个难点。

4、怎么在服务器搭网站？

今天是周末，有时间，我来简单回答您的问题。

1、 注册域名；

2、 域名备案；

3、 编写代码；

4、 购买服务器；

5、 配置网站。

因为您的问题的重点是“怎么在服务器上搭建网站”，所以我就着重谈最后三点，“编写代码”、“购买服务器”和“配置网站”。

相信大部分人都没有编写代码的能力，除非你是专业的ASP、PHP或JAVA工程师，如果您不是后者，建议您在网站上下载一些开源的代码，再配上一套合适的模版，应该都能满足你建站的需要。

常见的建站代码类型和数据库类型一般有两种：

1、PHP类型代码+MySQL类型数据库；

2、ASP类型代码+Microsoft SQL Server数据库。

本人使用最多的国外的一个免费开源建站代码WordPress，WordPress是使用PHP语言和MySQL数据库开发的一介建站平台，最初只应用于博客建站，后来由于用户量增加，全球大约34%的网站都在用WordPress，很多企业和个人设计了各种各样的模板，包括个人博客类、新闻类、企业类、社区类、电商类等等，WordPress现在已经拥有将近50000个扩展插件和5000个主题模板，数量不可说不菲。

可以说，无论您是搭建哪种的网站，都可以通过网上购买模板，或自行设计模板把WordPress打扮成自己想要的模样。

WordPress最新版本5.4.1的下载地址：https://wordpress.org/latest.zip 1

根据您要建站的代码和数据库类型，我们再来选择购买搭建相对应的云服务器。

如果您的网站为PHP类型代码+MySQL类型数据库，应选择Linux服务器，Linux服务器的操作系统有CentOS、Ubuntu、Red Hat、Debian等为代表，其中CentOS用的最多；

如果您的网站为ASP类型代码+Microsoft SQL Server数据库，应选择Windows服务器，以微软Windows Server 2008、2012、2016为代表，其中Windows Server 2012用的最多。

关于服务器类型，大家可以参看阿里云系统镜像列表清单：

对于初级建站需求，可以考虑选择1 CPU核心、1G内存、1M带宽，年费仅893.4元，很便宜哟，后期可以根据业务发展需要进行升级配置。

如果您根据我的建议，选择了WordPress建站，那么请您务必选用最流行的CentOS操作系统的云服务器，CentOS版本选择7.7（为了更好地兼容下面我们要讲的宝塔管理面板服务器管理工具）即可。

CentOS服务器管理工具建议选择宝塔Linux管理面板，可以让你非常方便地管理你的Linux服务器。

宝塔管理面板软件最新版本为7.2，下载地址见文章尾部外部链接：

https://www.bt.cn/?invite_code=MV9qYWVtcGs=

4

宝塔管理面板CentOS操作系统上的安排方法如下，对于小白说，可能会有些陌生，也有些难度，但其实只要不输入错误，就基本上是正常的。

好，我们下面开始操作如何在CentOS7.7服务器操作系统上安装宝塔管理面板工具了。

1、下载堡塔SSH终端，下载地址：https://bt.cn/download/term.html

2、在通过堡塔SSH终端连接CentOS服务器后，输入以下命令行：

yum install -y wget && wget -O install.sh http://download.bt.cn/install/install_6.0.sh && sh install.sh

上面的命令行内容，一个都不能少，也不能有空格，最好是拷贝再粘贴。

一行代码，2分钟就能装好，不可谓不快捷，不可谓不好用。

安装完成，我们通过http://IP地址:8888端口号就可以打开宝塔管理面板后台，截图如下：

5

6

在宝塔管理面板里，点击左侧“网站”菜单，就可以配置网站域名、默认目录；点击“文件”菜单，就可以上传代码，而且还支持在线解压缩。

我们通过点击“文件”菜单将WordPress压缩包上传到服务器空间，然后再解压缩，并配置域名网站（域名需要在管理后面解析至服务器IP），经过一系列部署，我们在浏览器里打开绑定在服务器器IP地址的域名，网站首面显示如下（其中一个内置的模板）：

如果你愿意花钱找人设计新的模板，那么你的WordPress网址也可以是这样子的：

网站搭建就告一段落，因篇幅有限，建站过程中很多细节，不能一一描述，如果仍有问题请留言交流。

以上内容希望能对你有帮助，谢谢！

5、有什么软件可以模拟搭建一个网络环境？

搭建WEB渗透环境。

一般是ASP+access+iis等但是利用ASP小旋风就可以搭建一个asp的环境，但是漏洞源码你需要自己寻找。

PHP+MYSQL+阿帕奇，这种黄金三配套你需要拥有一个服务器环境，一般你下载一个XMPP就可以搭建一个阿帕奇+MYSQL的环境，配合这种PHP黄金三件套的环境漏洞平台有，DVWA。

这款测试平台集成了XSS，SQL,FUZZ，CSRF等常见得漏洞测试

更多详细的漏洞平台参见