怎么用别人的PHP,都用的是php写的源码?
第一 PHP语言本身漏洞相当多,尤其是很多人不喜欢用最新版本,现在PHP8都发布了,现在竟然还有一大批人用PHP5.2, 越早的版本漏洞越多。 漏洞多自然就好做渗透。
第二 PHP web框架漏洞也非常多。 国内最常用的PHP框架 thinkphp经常爆出各种严重漏洞,比如5.x的远程可执行命令漏洞,导致大量使用此框架的网站中招。 这个漏洞利用之容易,做个程序可以随便感染一大批网站。 有的人利用这个漏洞拿到的肉鸡多到自己都数不过来。
反观Java web, 大多数人都会用sprint 全家桶。 而Spring MVC 和Spring security提供的安全认证,起安全性都是非常强的。
虽然Spring也出一些漏洞,但是我印象中还没有出过非常容易利用,非常简单就能拿到最高权限的傻瓜式漏洞。
第三 网上劣质php源码最多。 很多人是根本不具备独立编程能力的,这些所谓的“程序员”最喜欢干的事是去网上下载各种免费源码,然后改吧改吧就算自己做了网站了。
这种免费源码,以PHP居多。什么的dede CMS,什么xxshop,xxmall,微盟, 这里垃圾PHP源码简直是千疮百孔,漏洞百出。可以说是黑客们的最爱。 用这类垃圾源码最的网站,随便一个中学生捣鼓捣鼓就能入侵, 简直和裸奔没啥区别。
同时,会用这些垃圾代码做网站的程序员,一般水平都不会太高,按理说连编程入门都算不上。这些所谓程序自然根本无法做到防止黑客入侵。
第四 很多人安全意识太差。 不管你用什么语言做网站,大多都要在网站程序外在跑一个Nginx,apache,或者IIS。 即使使用Java, Nginx 做反向代理+静态处理,后面再加tomcat的构架也很多。
凡是,很多人要么是技术不到位,要么是偷懒,不去自己编译tomcat或者apache,而是用网上现成的的一键安装包或者傻瓜安装程序。这些程序可能会默认安装PHP支持。
也就是说,一些安全意识不强或者水平比较差的程序员编写的java web 很有可能也会支持PHP。
很多人在入侵提权的时候,不管你是什么网站,都会先试一下PHP能不能执行,入侵几率比较高。
关于最后一个问题, 如果你找到了Java web的漏洞,可以上传文件了, 下一步要做的就是提权。这个时候你直接上传Java源代码是没有用的。 php是动态执行的,源码可以直接被执行,而Java则需要编译。
拿到上传权限后想提权,就必须先弄清楚对方服务器的jre版本,然后再本地用相应的版本编译后,再把jar包传上去,才能够执行。
这里还有一个不同,一般php提权,只需要拿到网站根目录的上传权限即可。 但是Java web 很有可能网站的根目录,和存放可执行jar包的目录不是一个目录,想要执行Java代码,你就必须想法拿到jar包所在目录的上传权限(同时也要拿到网站根目录权限),这是一个难点。
我用PHPstudy 再服务器上做了一个网页本地访问没有问题?
域名解析到IP上,还需要主机上绑定域名,这是双向的,不设置会访问 服务器的默认80端口,
已经好久不用WINDOW服务器了,现在基本都是linux上安装nginx+php.
phpstudy 这个软件 还真没用过,几年前用window服务器的时候 一般都是用IIS 或者phpnow.
怎样才可以在别人的电脑上运行自己的QT程序?
你可以参考SQLiteStudio这个QT写的跨平台SQLite管理工具,它自己打包了依赖的Qt库,可以做到解压即用,兼容不同Linux发行版.道理其实跟Windows版Qt程序自带Qt库差不多.
编译前给连接器传一个参数:
说明:
-Wl 表示告诉编译器将后面的参数传递给链接器.
rpath是gcc的一个参数,当程序被加载时,会搜寻rpath目录,寻找共享库.
rpath添加的目录信息保存在可执行文件中.
$ORIGIN表示可执行文件所在的目录.
也就是运行时程序会先去自己所在的目录的lib里去加载依赖库,没有的话再去系统库里找.
如果你的程序在编译时没有传递rpath参数,那你也可以用patchelf来修改你程序的rpath:
注意:patchelf修改文件后再strip会导致文件损坏.
所以应该先用strip删除符号表缩小二进制文件,然后再用patchelf设置rpath.
题外话,Android上既没有glibc库,也没有库链接器ld-linux.so.3.
如果你要把Debian ARM(如树莓派Raspbian)上的软件放到Android上跑,你一样可以打包程序依赖的共享库,让程序也能跑在Android上,比如PHP:
也就是你把库链接器ld-linux-armhf.so.3和PHP依赖的库都放到/data/local/tmp/web/lib里,然后设置个别名,就能在Android的adb shell里运行树莓派的PHP了.
当然,你也可以用patchelf设置PHP的interpreter和rpath,效果差不多:
大家一般用什么工具测试HTTP和json接口?
很高兴回答你的问题,我常用到的api接口文档有三款,下面我来分别进行举例说明。
1、apizza
apizza 是一个极客专属的api协作管理工具,你可以在这里进行api测试,方便快捷的编写api文档,智能识别参数,自动生成代码,流程测试,让你的团队协作更高效。
第一步用邮箱注册账号,注册成功之后就可以创建项目了。
第二步注册账号是个人版的,下面是个人版的权限,可以创建8个项目,每个项目可以有两个开发者,每个项目可以创建200个接口,对于大部分的项目来说都是可以满足要求的。
第三步就可以根据自己的项目需要去创建接口了,无论是从界面设计还是功能使用上我都非常喜欢这款软件,这里我也推荐大家去尝试尝试。
2、showdoc
ShowDoc是一个非常适合IT团队的在线API文档、技术文档工具。你可以使用Showdoc来编写在线API文档、技术文档、数据字典、在线手册
showdoc区别于其他项目的优势是可以下载源代码,并且部署在自己的服务器,这是我目前知道的最好的开源接口api管理工具。
当然除此之外就是直接在线上使用,它不仅可以记录api接口文档,还可以记录数据库的字典,更加方便与后期的开发。
这款软件也值得大家去使用,好的软件工具总是不由让开发者恋恋不舍。
3、postman
postman是我最早接触的一款接口测试工具,由于是英文的所以对于刚开始接触的小白来说是有一定的难度,并且需要下载安装,因为我喜欢比较用在线的工具,所以再有其他选择的时候我就没有继续在使用,但是因人而异,确实是一款不错的测试工具。
以上就是我给大家推荐的三款api测试接口文档,当然在市场上也不仅限于此,大家可以在评论区进行留言讨论。
欢迎大家点赞关注转发,谢谢。
什么叫PHP?
所谓的二次开发,简单的说就是修改别人的东西,变成你想要的东西,插件基本属于高端了,二次开发和一次开发不同的地方在于你是要先看懂别人的代码再去做,总之,掌握好php基础知识,多加练习没什么大不了的