极安全-JiSec

文章目录 本地复现 0x00 【漏洞预警】ThinkPHP v5.1.22版本曝出SQL注入漏洞 近日，ThinkPHP又曝出SQL注入漏洞，ThinkPHP以前曝出的SQL注入漏洞已经不少了，6月份就曝过“update”和“insert”类型的注入。由于其庞大的用户数量，还是需要重视一下。该漏洞是因为未正确处理所接收数组类型参数的key，直接拼接到了SQL语句的order by后面，导致漏洞的产生。该漏洞可以获取数据...

Author: Orange Tsai(@orange_8361) from DEVCORE Recently, I reviewed several Web frameworks and language implementations, and found some vulnerabilities. This is an simple and interesting case, and seems easy to exploit in real world! Affected All PHP version PHP 5 < 5.6.33 PHP 7.0 < 7.0.27 PHP 7.1 < 7.1.13 PHP 7.2 < 7.2.1 Vulnerability Details The vulnerability is on the file ext...

  /** * Created by IntelliJ IDEA. * User: jisec.com * Date: 2017/3/7 * Time: 下午4:45 */ function getContext($url, $content, $commend){ $ret = http_request($url, null, $commend); printf($ret); }; function http_request($url, $data = null, $commend = "whoami") { $curl = curl_init(); $header[0] = "Accept: text/xml,application/xml,application/xhtml+xml,"; $header[0] .= "text/html;q=0.9,text...

Laravel5.2的目录结构如下   app         Commands         Console         Events         Handlers             Commands             Events         Http             Controllers             Middleware             Requests         Providers         Services     bootstrap     config     database         migrations         seeds     public         package     resources    ...

公众号每次调用接口时，可能获得正确或错误的返回码，开发者可以根据返回码信息调试接口，排查错误。 全局返回码说明如下 返回码 说明 -1 系统繁忙 0 请求成功 40001 获取access_token时AppSecret错误，或者access_token无效（可以重置试试） 40002 不合法的凭证类型 40003 不合法的OpenID 40004 不合法的媒体文件类型 40005 不合法的文件类型 40006 不合法的文件大小 40007 不合法的媒体文件id 40008 ...

php7编译安装phpredis扩展报一下错误的解决办法 hecking whether -lc should be explicitly linked in... no checking dynamic linker characteristics... GNU/Linux ld.so checking how to hardcode library paths into programs... immediate checking whether stripping libraries is possible... yes checking if libtool supports shared libraries... yes checking whether to build shared libraries... yes checking w...

配置防火墙，开启80端口、3306端口 CentOS 7.0默认使用的是firewall作为防火墙，这里改为iptables防火墙。 1、关闭firewall： systemctl stop firewalld.service #停止firewall systemctl disable firewalld.service #禁止firewall开机启动 2、安装iptables防火墙 yum install iptables-services #安装 vi /etc/sysconfig/iptables #编辑防火墙配置文件 # Firewall configuration written by system-config-firewall # Manual ...

添加第三方源 由于ubuntu各个版本目前都没有官方的PHP7.0的源，所以我们只能自己添加第三方的源 sudo add-apt-repository ppa:ondrej/php 更新源，安装PHP 添加源之后，我们需要更新源。然后正式开始安装PHP7.0 sudo apt-get update sudo apt-get install php7.0 最后安装常用扩展 目前该第三方源已经提供了大部分常用的PHP扩展。但是需要注意的是，目前该源中的PHP扩展，部分是部分是根据PHP7重写的，部分是兼容模式的 PHP...

安装最新的php7.0.6在安装成功后运行 php -m 查看安装了哪些扩展 ,或者执行任意php命令报错 php -v PHP Deprecated: PHP Startup: memcached.sess_lock_wait and memcached.sess_lock_max_wait are deprecated. Please update your configuration to use memcached.sess_lock_wait_min, memcached.sess_lock_wait_max and memcached.sess_lock_retries in Unknown on line 0 Deprecated: PHP Startup: memcached.sess_lock_wa...

Yii CDbCriteria 常用方法 注：$c = new CDbCriteria();是ActiveRecord的一种写法，使ActiveRecord更加灵活，而不是手册中DAO（PDO）和Query Builder。 官方手册地址：http://www.yiiframework.com/doc/api/1.1/CDbCriteria 这是Yii CDbCriteria的一些笔记和常用用法： 一、一个sql拼装的情况 PHP代码 Php代码 $criteria = new CDbCriteria; //函数方式 $criteria->addCondition("id=1"); //查询条件，即where id = 1 $cri...

public function getMinLimit () { $sql = "..."; $result = yii::app()->db->createCommand($sql); $query = $result->queryAll(); return array ( $query [0] ['max'], ); } $connection=Yii::app()->db; $sql="SELECT u.account,i.* FROM sys_user as u left join user_info as i on u.id=i.user_id"; $rows=$connection->createCommand ($sql)->query();...

蚊子 嗡嗡嗡。 ImageMagick ImageMagick 昨天曝出 CVE-2016-3714，Java、PHP 的库也受其影响。其中 PHP 的库 Imagick 应用广泛，波及也大。Wordpress 也就是受此漏洞影响出现了 RCE。 这个漏洞很蠢，ImageMagick 在 MagickCore/constitute.c 的 ReadImage 函数中解析图片，如果图片地址是 https:// 开头的，即调用 InvokeDelegate。 MagickCore/delegate.c 定义了委托，第 99 行定义了要执行的命令。 最终 InvokeDelegate 调用 ...

首先mac 是自带了php环境 我们需要自己再安装一个php然后替换掉原有的php就可以了 1.安装homebrew homebrew是mac下非常好用的包管理器，会自动安装相关的依赖包，将你从繁琐的软件依赖安装中解放出来。 安装homebrew也非常简单，只要在终端中输入: ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)" homebrew的常用命令: brew update #更新可安装包的最新信息，建议每次安装前都运...

Goodby CSV是一个内存高效灵活的和可扩展的开源的CSV导入导出的类库,托管于Github上，Goodby有一个特色,就是能方便的通过自定义一个回调函数逐行处理CSV文件（这也造成它的缺点：数据处理时间长）。我把它加入项目中调用，生产环境中原来8M文件要吃2G内存的到现在只需几十M，具体处理时间和自己写的处理回调函数有很大关系。 PHP版本要求：5.3.2以上 扩展要求： PHP必须包含mbstring扩展 Git库地址：https://github.com/goodby/...

HP QR Code是一个PHP二维码生成类库，利用它可以轻松生成二维码，官网提供了下载和多个演示demo，查看地址： http://phpqrcode.sourceforge.net/ 下载官网提供的类库后，只需要使用phpqrcode.php就可以生成二维码了，当然您的PHP环境必须开启支持GD2。 phpqrcode.php提供了一个关键的png()方法，其中 参数$text表示生成二位的的信息文本； 参数$outfile表示是否输出二维码图片 文件，默认否； 参数$level表示容错率，也就是...