在函数中申明了全局变量 $a 和 $b,有些人可能漫不经心的改变一个全局变量,PHP 中全局变量在函数中使用时必须申明为全局,全局变量在函数中自动生效,二、支持的程序可以通过phpinfo()查看一些特殊的程序服务,比如redis、memcache、mysql、SMTP、curl等等如果服务器装了redis或者memcache可以通过ssrf来getshell了,里面的东西不错PHP中static与global有区别么区别是什么PHP 的全局变量和 C 语言有一点点不同,php开发小程序api需要注意哪些API。
php开发小程序api需要注意哪些
API,是应用程序接口的英文缩写。通常API就是一些具体的函数。比如一个自定义函数:function test(){echo ‘hello world’;}就可以叫做api。api既可以是单个的函数,也可以是封装在类里的方法,当然它们也是程序代码。开发一个api的流程可以很简单,也可以很复杂,视具体的编程任务而决定,并没有特定的规则。你可以去后盾人平台看看,里面的东西不错
PHP中static与global有区别么区别是什么
PHP 的全局变量和 C 语言有一点点不同,在 C 语言中,全局变量在函数中自动生效,除非被局部变量覆盖。这可能引起一些问题,有些人可能漫不经心的改变一个全局变量。PHP 中全局变量在函数中使用时必须申明为全局。
使用 global的例子
《?php
$a = 1;
$b = 2;
function Sum()
{
global $a, $b;
$b = $a + $b;
}
Sum();
echo $b;
?》
以上脚本的输出将是 “3“。在函数中申明了全局变量 $a 和 $b,任何变量的所有引用变量都会指向到全局变量。
static 是类的变量,其值并不是像web_ajax说的那样不能改变,使可以改变的
从phpinfo中能获取哪些敏感信息
一、绝对路径(_SERVER)这个是最常用,也是最有效的一个办法,找到phpinfo()页面可以直接找到网站的绝对路径,对于写shell和信息搜集是必不可少的。二、支持的程序可以通过phpinfo()查看一些特殊的程序服务,比如redis、memcache、mysql、SMTP、curl等等如果服务器装了redis或者memcache可以通过ssrf来getshell了,在discuz中都出现过此类问题。如果确定装了redis或memcache的话,在没有思路的情况下,可以着重找一下ssrf三、泄漏真实ip(_SERVER或SERVER_ADDR)有时候通过phpinfo()泄漏的ip可以查查旁站、c段什么的,直接无视cdn,百事不灵。四、GOPHER也算是ssrf一部分吧,或者说主要靠ssrf利用起来,如果支持gopher,ssrf便没有压力咯五、fastcgi查看是否开启fastcgi和fastcgi的版本,可能导致解析漏洞、远程命令执行、任意文件读取等问题六、泄漏缓存文件地址(_FILES)向phpinfo() post一个shell可以在_FILES中看到上传的临时文件,如果有个lfi,便可以直接getshell了。七、一些敏感配置allow_url_include、allow_url_fopen、disable_functions、open_basedir、short_open_tag等等比如allow_url_include可用来远程文件包含、disable_functions用来查看禁用函数,绕过执行、查看是否开启open_basedir,用p牛的绕过open_basedir的方法有可能能读一些没权限的目录等等。-php开发
