天涯论坛

 找回密码
 立即注册
搜索
查看: 81|回复: 3

php框架代码审计思路

[复制链接]

3046

主题

2万

回帖

9910万

积分

论坛元老

Rank: 8Rank: 8

积分
99109048
发表于 2024-7-11 18:57:24 | 显示全部楼层 |阅读模式

程序员写在文案前:

本周技术分享,程序员小星想以“php框架代码审计”为题,与大众分享一下小星对代码的审计思路。但因为内容较多,此次小星先从兼容模式和path_info模式、命名空间、tp5的正常调用流程等七大部分与大众进行讨论。

(一)内容

1. MVC基本的架构

2. 漏洞挖掘

thinkphp、Yii、larevel

M 模块

V 界面

C 掌控

MVC设计模式的优点?

1)解耦合 2)多接口、降低研发成本 3)高复用

(二)运用方式

application 应用目录(放自己的代码)

|---- admin 放后台文件

|________controller

|---- index 放前台文件

|________controller

public 入口文件

|---- index.php 网站的入口文件

thinkphp 核心文件

(三)拜访方式

thinkphp所有的都是用URL来实现。

thinkphp的拜访模式:

1)http://localhost/index.php/模块名叫作/掌控器的名/办法名/参数/vaulue

2)http://localhost/index.php/模块名叫作/掌控器的名/办法名?参数=value

模块名叫作:在application下,例如index文件夹是模块名。

掌控器的名:在index下有一controller,这个controller下有index.php,那他的掌控器的名便是index。

办法名:办法便是index.php下的有些办法叫作

构造URL:

http://localhost/index.php/index/Index/hello/name/11111

(四)兼容模式和path_info模式

1)tp运用兼容模式的写法:

http://localhost/index.php?s=index/Index/hello&name=1111

2)pathinfo拜访的模式:

http://localhost/index.php/index/Index/hello/name/11111

3)能够得到:

http://localhost/index.php?s=模块/掌控器/办法&参数=value

(五)关于命名空间

tp5遵循一个psr-4自动加载规范,他能够去自动加载类,必须恰当的、正确的命名空间。

一组的健康的、合格的tp5代码必须一个恰当的命名空间。





上一篇:PHP 代码审计基本
下一篇:几种平常的漏洞种类以及代码审计工具
回复

使用道具 举报

3121

主题

2万

回帖

9910万

积分

论坛元老

Rank: 8Rank: 8

积分
99108633
发表于 2024-9-29 16:45:13 | 显示全部楼层
你的见解独到,让我受益匪浅,非常感谢。
回复

使用道具 举报

2995

主题

2万

回帖

9910万

积分

论坛元老

Rank: 8Rank: 8

积分
99109198
发表于 2024-10-3 17:23:28 | 显示全部楼层
你的见解独到,让我受益匪浅,非常感谢。
回复

使用道具 举报

2944

主题

2万

回帖

9997万

积分

论坛元老

Rank: 8Rank: 8

积分
99979435
发表于 2024-11-9 13:15:48 | 显示全部楼层
谢谢、感谢、感恩、辛苦了、有你真好等。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

站点统计|Archiver|手机版|小黑屋|天涯论坛 ( 非经营性网站 )|网站地图

GMT+8, 2024-11-22 18:14 , Processed in 0.297377 second(s), 22 queries .

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.