php怎么post提交

1、php怎么post提交，mpls中php的工作原理？

1 PHP获取前端数据：通过表单提交的POST或GET完成。

2 PHP向前端输出数据：通过直接输出（由解析器完成）到HTML完成。

3 使用AJAX可以完成部分刷新，从而具有动态效果。

3 流程：PHP直接将后端数据传递到HTML，PHP读取前端GET数据，JavaScript直接读取PHP后端数据

2、有哪些好玩的网站可以分享？

窥探别人的记忆、舔狗日记，在线玩游戏……分享10个不容错过的奇怪网站，总有一个让你一眼爱上！

考虑到大家记不住这么多网站，所以我把下文推荐的所有网站的站点，都收集到一个导航栏里：

除了本文的网站，上面还有超级多的各类网站：

获取导航栏看这里：打开微信，搜索微信公众号【PPT狂想曲】，私信【网站导航栏】，就可以啦1.OSU戳泡泡

网址：http://osugame.online/

一款可以在线玩的音乐节奏游戏。

点击谱面，选择难易程度，就可以玩啦！按键默认是鼠标左右键和Z、X键，可以在设置中修改。

操作简单，右上角的常见问题，也能为你提供帮助哦！

站内提供不少风格、语言的谱面，目前还不支持用户从本地上传，不过开发者已经开始研究这个功能了！

今天刚玩，有点小辣鸡：

2.诺基亚短信图片生成

网址：https://zzkia.noddl.me/

一个生成诺基亚短信表情包的网站。

操作非常简单，输入内容，点击生成就可以了！

支持保存图片：

3.时间胶囊——给未来

网址：http://p.timepill.net/

一个帮你记录此刻、分享给未来的网站。

你可以写给未来的自己、朋友或家人，相信这也是一段美好的回忆！

填上自己的名字，邮箱（便于网站提醒你），胶囊内容（不能超过500字），设置好时间胶囊的打开时间、未到期提示信息，点击添加，你就拥有了一颗自己的时间胶囊！

添加成功之后，会出现一串Key（04b3-33ae-01c6-bd5b-91d6），大家一定要保存好。

支持自己复制后保存，也可以分享给朋友。

如果你想提前打开胶囊，网站会告诉你打开时间距离现在有多少秒，还有一串提示，嘿嘿！

4.动态全球地图

网址：https://earth.nullschool.net/

一个可以看到全球风、天气、海洋和污染情况的网站。

网站里简简单单，黑色背景下只有一个变化的地球。鼠标随意拖动，就能看到360度无死角的地球全貌。可以更直观地浏览地球上的风、天气、海洋和污染情况等，数据每3个小时更新一次！

支持浏览多种模式：空气、海洋、化学、颗粒物、空间（可见极光的地方）；还能分别看到1000，850,700,500,250,70和10海拔时的地球表面的风力、温度等变化；

点击“叠加”中的温度，可以看到全球的温度分布：

还能在上面看到2013时的地球温度、洋流变化，支持放大观看细节！

会玩的可以将它录制成一段视频，放在PPT中做背景，绝对能惊艳全场！

虽然不能再发现新大陆，但是这个网站真的是让我眼前一亮！

考虑到大家记不住这么多网站，所以我把下文推荐的所有网站的站点，都收集到一个导航栏里：

除了本文的网站，上面还有超级多的各类网站：

获取导航栏看这里：打开微信，搜索微信公众号【PPT狂想曲】，私信【网站导航栏】，就可以啦5.Mikutap

由日本一个音乐人制作的网站，敲击键盘字母A-Z，就会发出不同的声音，网站上也能够出现不同的图案。

制作灵感来源于这个网站patatap，但是Mikutap的声音是来自初音未来的，所以，创造出来的声音更受欢迎一些。

你还可以借助鼠标，点击网站页面的不同位置，也能发出不同的声音哦。一不小心就玩了俩小时，同事还以为我在努力码字。

6.在线玩贪吃蛇

网址：http://slither.io/

一个在线版的贪吃蛇游戏。

随着你不断的进食，你的身体也会不断变大，游戏唯一的规则就是你的头不能碰到别人的身体部分。

而你可以使用自己身体的优势，让别人碰你，这样，它就会成为你的食物了。

7.Firefox Send

一个超好用的分享神器！

最近非常喜欢的一个网站，比百度云好用得多！平时传输文件时，微信有限制，只能100M以下，所以有些大文件传输起来就非常麻烦，但是这个网站最大可以传输1G！

8.Wallhaven

网址：Top Wallpapers wallhaven.cc

一个提供高清壁纸的网站。

虽然就提供了三个分类，一般，动漫和人物，但是里面的图片质量很高，数量也很多。

你还可以看到网站内最受欢迎的壁纸：

9.恐龙快跑

网站：chrome://dino/

这个在严格意义上不算是网站，如果你之前有过断网的情况，你可能也见过这个画面：

但你知道吗？

在这个界面敲一下空格，就可以进入一个小游戏了：

但是，也不用拔掉网线。输入网址：chrome://dino/，就可以无限畅玩恐龙快跑了。

10、舔狗日记

网址：http://tg.94275.cn/#

听名字就知道，这个网站会随机生成舔狗语录。

建议别轻易点开，因为真的很舔狗！我怕你看了扎心~

11、百度的镜面

网址：https://udiab.net/

没错，这个网站展示的就是镜子里面的百度！

唯一的用处就是可以整蛊你的朋友，趁她不注意，偷偷在她电脑上打开这个网站。期待你们在评论区晒出朋友的反应！

特别是和女朋友吵架的时候，哈哈哈你懂得！

最后，考虑到大家记不住这么多网站，所以我把下文推荐的所有网站的站点，都收集到一个导航栏里：

除了本文的网站，上面还有超级多的各类网站：

获取导航栏看这里：打开微信，搜索微信公众号【PPT狂想曲】，私信【网站导航栏】，就可以啦

最近在搜寻一些新的有趣网站，如果点赞多的话，我会回来更新哦！

欢迎关注我的头条号 @PPT狂想曲 ，浏览主页，还可以了解到更多高效神器哦~

3、我们常见的提交方式有哪些？

WEB安全之SQL注入

引言：

在开发网站的时候，出于安全考虑，需要过滤从页面传递过来的字符。通常，用户可以通过以下接口调用数据库的内容：URL地址栏、登陆界面、留言板、搜索框等。这往往给骇客留下了可乘之机。轻则数据遭到泄露，重则服务器被拿下。

1、SQL注入步骤

a)寻找注入点，构造特殊的语句

传入SQL语句可控参数分为两类 1. 数字类型，参数不用被引号括起来，如 2. 其他类型，参数要被引号扩起来,如

b)用户构造SQL语句(如：'or 1=1#；admin'#（这个注入又称PHP的万能密码，是已知用户名的情况下，可绕过输入密码）以后再做解释)

c)将SQL语句发送给DBMS数据库

d)DBMS收到返回的结果，并将该请求解释成机器代码指令，执行必要得到操作

e)DBMS接受返回结果，处理后，返回给用户

因为用户构造了特殊的SQL语句，必定返回特殊的结果(只要你的SQL语句够灵活)

下面，我通过一个实例具体来演示下SQL注入 二、SQL注入实例详解(以上测试均假设服务器未开启magic_quote_gpc)

1) 前期准备工作 先来演示通过SQL注入漏洞，登入后台管理员界面 首先，创建一张试验用的数据表：

CREATE TABLE `users` ( `id` int(11) NOT NULL AUTO_INCREMENT, `username` varchar(64) NOT NULL, `password` varchar(64) NOT NULL, `email` varchar(64) NOT NULL,PRIMARY KEY (`id`),UNIQUE KEY `username` (`username`) ) ENGINE=MyISAM AUTO_INCREMENT=3 DEFAULT CHARSET=latin1;

添加一条记录用于测试：

INSERT INTO users (username,password,email)VALUES('MarcoFly',md5('test'),'marcofly@test.com');

接下来，贴上登入界面的源代码

<html><head><title>Sql注入演示</title><meta http-equiv="content-type" content="text/html;charset=utf-8"></head><body ><form action="validate.php" method="post"><fieldset ><legend>Sql注入演示</legend><table><tr><td>用户名：</td><td><input type="text" name="username"></td></tr><tr><td>密 码：</td><td><input type="text" name="password"></td></tr><tr><td><input type="submit" value="提交"></td><td><input type="reset" value="重置"></td></tr></table></fieldset></form></body></html>

附上效果图：

当用户点击提交按钮的时候，将会把表单数据提交给validate.php页面，validate.php页面用来判断用户输入的用户名和密码有没有都符合要求（这一步至关重要，也往往是SQL漏洞所在）

! <!--前台和后台对接--><html><head><title>登录验证</title><meta http-equiv="content-type" content="text/html;charset=utf-8"></head><body><?php $conn=@mysql_connect("localhost",'root','') or die("数据库连接失败！");; mysql_select_db("injection",$conn) or die("您要选择的数据库不存在"); $name=$_POST['username']; $pwd=$_POST['password']; $sql="select * from users where username='$name' and password='$pwd'"; $query=mysql_query($sql); $arr=mysql_fetch_array($query);if(is_array($arr)){ header("Location:manager.php"); }else{ echo "您的用户名或密码输入有误，<a href=\"Login.php\">请重新登录！</a>"; } ?></body></html>

注意到了没有，我们直接将用户提交过来的数据(用户名和密码)直接拿去执行，并没有实现进行特殊字符过滤，待会你们将明白，这是致命的。 代码分析：如果，用户名和密码都匹配成功的话，将跳转到管理员操作界面(manager.php)，不成功，则给出友好提示信息。 登录成功的界面：

登录失败的提示：

到这里，前期工作已经做好了，接下来将展开我们的重头戏：SQL注入

2) 构造SQL语句 填好正确的用户名(marcofly)和密码(test)后，点击提交，将会返回给我们“欢迎管理员”的界面。 因为根据我们提交的用户名和密码被合成到SQL查询语句当中之后是这样的： select * from users where username='marcofly' and password=md5('test') 很明显，用户名和密码都和我们之前给出的一样，肯定能够成功登陆。但是，如果我们输入一个错误的用户名或密码呢？很明显，肯定登入不了吧。恩，正常情况下是如此，但是对于有SQL注入漏洞的网站来说，只要构造个特殊的“字符串”，照样能够成功登录。

比如：在用户名输入框中输入:' or 1=1#,密码随便输入，这时候的合成后的SQL查询语句为： select * from users where username='' or 1=1#' and password=md5('') 语义分析：“#”在mysql中是注释符，这样井号后面的内容将被mysql视为注释内容，这样就不会去执行了，换句话说，以下的两句sql语句等价：

select * from users where username='' or 1=1#' and password=md5('')

等价于

select* from users where usrername='' or 1=1

因为1=1永远是都是成立的，即where子句总是为真，将该sql进一步简化之后，等价于如下select语句：

select * from users 没错，该sql语句的作用是检索users表中的所有字段

上面是一种输入方法，这里再介绍一种注入的方法，这个方法又称PHP的万能密码

我们再已知用户名的条件下，可以不能密码即可登入，假设用户名：admin

构造语句：

select * from users where username='admin'#' and password=md5('')

等价于

select * from users where username='admin'

这样即可不能输入密码登入上去的。

数据库就会错认为不用用户名既可以登入，绕过后台的验证，已到达注入的目的。

同样利用了SQL语法的漏洞。

看到了吧，一个经构造后的sql语句竟有如此可怕的破坏力，相信你看到这后，开始对sql注入有了一个理性的认识了吧~ 没错，SQL注入就是这么容易。但是，要根据实际情况构造灵活的sql语句却不是那么容易的。有了基础之后，自己再去慢慢摸索吧。 有没有想过，如果经由后台登录窗口提交的数据都被管理员过滤掉特殊字符之后呢？这样的话，我们的万能用户名' or 1=1#就无法使用了。但这并不是说我们就毫无对策，要知道用户和数据库打交道的途径不止这一条。

4、postdata是什么意思？

方法1、最常见的方法是：$_post['fieldname'];

说明：只能接收content-type:application/x-www-form-urlencoded提交的数据

解释：也就是表单post过来的数据

方法2、file_get_contents("php://input");

说明：

允许读取post的原始数据。

和$http_raw_post_data比起来，它给内存带来的压力较小，并且不需要任何特殊的php.ini设置。

php://input不能用于enctype="multipart/form-data"。

解释：

对于未指定content-type的post数据，则可以使用file_get_contents(“php://input”);来获取原始数据。

事实上，用php接收post的任何数据都可以使用本方法。而不用考虑content-type,包括二进制文件流也可以。

所以用方法二是最保险的方法

方法3、$globals['http_raw_post_data'];

说明：

总是产生$http_raw_post_data变量包含有原始的post数据。

此变量仅在碰到未识别mime类型的数据时产生。

$http_raw_post_data对于enctype="multipart/form-data"表单数据不可用

如果post过来的数据不是php能够识别的，可以用$globals['http_raw_post_data']来接收，

比如text/xml或者soap等等

解释：

$globals['http_raw_post_data']存放的是post过来的原始数据。

$_post或$_request存放的是php以key=>value的形式格式化以后的数据。

但$globals['http_raw_post_data']中是否保存post过来的数据取决于centent-type的设置，即post数据时必须显式示指明content-type:application/x-www-form-urlencoded，post的数据才会存放到$globals['http_raw_post_data']中

5、REQUEST？

$_REQUEST不是一个函数,它是一个超全局变量,里面包括有 $_GET $_POST $_COOKIE 但是用$_REQUEST()比较$_GET, $_POST, $_COOKIE执行效率相对较低！