宝塔面板安装的PHP没有默认隐藏版本号，比如说这样的： 网络技术应用研究公司 W3Techs 近日表示，根据所有网站使用 PHP 版本的情况，从 2019 年 1 月 1 日起，有近 62％ 的网站将会因为无法获得安全更新，而受到恶意攻击。 根据 W3Techs 的调查，从本月 15 日开始，其研究的网站样本中使用的 PHP 的比例高达 ％，使用 PHP 5 的网站的比例达到 ％。 在子版本中，使

一、简介： PHP是一种广泛使用的服务器端Web编程语言，字符串是PHP中常见的数据类型之一。stristr()方法是PHP中用于在字符串中查找子字符串的函数。该方法与strstr()方法类似，但不区分大小写。 二、语法： stristr(string $haystack, mixed $needle [, bool $before_needle = false ]): 三、参数解释： $hays

PHP是一种广泛使用的服务器端编程语言，它具有灵活性、易用性和可靠性。在PHP中，字符串处理是最常见的任务之一。PHP中的str_replace()函数是用于替换字符串中指定字符或子字符串的方法之一。在本篇教程中，我们将介绍PHP中的str_replace()方法及其用法。 一、str_replace()方法的基本语法 str_replace()方法的基本语法如下： str_replace(fin

PHP 一直在发展，保持与最新功能和改进保持同步非常重要。本文介绍了截至 2023 年您应该了解的 20 项 PHP 功能，每个功能都配有一个方便的代码示例。 1.str_contains()： 检查一个字符串是否包含在另一个字符串中。 $sentence = "The quick brown 🦊 jumps over the lazy 🐶." ; $word = "🦊" ; if ( str_c

php因天生支持web应用的开发，以其简单易学，开发效率高而备受喜爱。使其占据了大片的市场。但是php本身的安全问题却一直不曾消停，以及不规范的php代码编写规范，使得web应用漏洞百出。这篇文章从配置文件和代码编写角度出发，总结记录php相关安全。新手上路，向前辈致敬。 请充分了解你的php 基本信息 注意到以下的文件结构在新版本php或者不同的发行版中略有不同，就好比在ubuntu18.04中

ThinkPHP 5.0是目前最新的版本，历经多年的升级完善，深受网站设计公司的喜欢，在互联网上也是一个开源的，免费、多个功能插件、API接口功能强悍的PHP 语言开发的一款程序，ThinkPHP从设计以来一直秉承简洁实用的设计原则，在保证出色的性能和至简的代码的同时，也很注重实用性。 SINE安全公司在对其最新版本的程序进行网站安全审计的时候，发现该程序存在数据库密码信息泄露漏洞，在PDO PH

常见的php后门基本需要文件来维持（常规php脚本后门：一句话、大马等各种变形；WebServer模块：apache扩展等，需要高权限并且需要重启WebServer），或者是脚本运行后删除自身，利用死循环驻留在内存里，不断主动外连获取指令并且执行。两者都无法做到无需高权限、无需重启WeServer、触发后删除脚本自身并驻留内存、无外部进程、能主动发送控制指令触发后门（避免内网无法外连的情况）。 而

CSRF全称Cross Site Request Forgery，即跨站点请求伪造，通过伪装成受信任用户的请求来利用受信任的网站。如果使用的zblog应用有通过cmd.php处理的链接，或提交数据，应该同时提交一个token参数。另外，您的应用如果有副作用，也务必需要加入CSRF Token。 通过GET方法提交，如果您的目标地址是cmd.php，那么您可以使用以下函数： 1 如果不是，那么您也可

今年的TCTF中，出现了攻击FPM绕过沙盒的场景。决定探究下FPM生命周期和disable_function源码实现，phpinfo不能准确显示。还很多地方还不熟悉，后面再慢慢补充，膜拜RR和P总，ORZ。 apt install gdb 下载php源码： wget https://www.php.net/distributions/php-7.1.0.tar.gz 然后对./configure 

PHP将查询字符串（在URL或正文中）转换为内部$_GET或的关联数组$_POST。例如：/?foo=bar变成Array([foo] => “bar”)。值得注意的是，查询字符串在解析的过程中会将某些字符删除或用下划线代替。例如，/?%20news[id%00=42会转换为Array([news_id] => 42)。如果一个IDS/IPS或WAF中有一条规则是当news_id参数的值是一个非数

phpinfo（）函数输出 PHP 当前状态的大量信息，包含了 PHP 编译选项、启用的扩展、PHP 版本、服务器信息和环境变量（如果编译为一个模块的话）、PHP环境变量、操作系统版本信息、path 变量、配置选项的本地值和主值、HTTP 头和PHP授权信息(License)。 phpinfo() 同时是个很有价值的、包含所有 EGPCS(Environment, GET, POST, Cooki

1.通过命令查看服务器上一共开了多少的 php-cgi 进程  ps -fe |grep "php-fpm"|grep "pool"|wc -l 2.查看已经有多少个php-cgi进程用来处理tcp请求   netstat -anp|grep "php-fpm"|grep "tcp"|grep "pool"|wc -l 3.linux+nginx+php环境中，每个php-fpm进程的内存限制 设

安装php的时候，如果版本过低的话，可能会导致不能安装某些wordpress主题。 如下图所示： 那么，如何在宝塔面板升级php版本呢？ 视频教程请查看：https://www.bilibili.com/video/BV1UV411Y7ro 首先打开宝塔面板，选择“网站”，在需要升级php版本的网站后面点击“设置”，如下图 如果在PHP版本那里没有更高的版本进行切换，就需要我们到“软件商店”搜索p

使用 PHP 环境的用户越来越多，相关的安全问题也变得越来越重要。PHP 环境提供的安全模式是一个非常重要的内嵌安全机制，PHP 安全模式能有效控制一些 PHP 环境中的函数（例如system()函数），对大部分的文件操作函数进行权限控制，同时不允许对某些关键文件进行修改（例如 /etc/passwd）。但是，默认的 php.ini 配置文件并没有启用安全模式。 本文档将介绍如何使用 PHP 的安

WordPress的内部搜索经常被人恶意搜索，如果不做处理，被搜索引擎收录就麻烦了，虽然郝哥笔记屏蔽了搜索词的收录，但是看着还是不爽，他祸害统计代码也就算了，这个绝对不能忍，今天分享一下，WordPress如何用代码屏蔽恶意关键词搜索? 1、将以下代码添加到当前使用的主题 functions.php 文件 //屏蔽恶意关键词搜索 add_action('admin_init',

CGI本身可以看成是一种协议标准，它可以用任何一种语言编写具体的符合该接口标准的协议存在，只要这种语言具有标准输入、输出和环境变量。如php,perl,tcl等。 其实下面几个概念理解了，本文所要解释的问题你也就理解了。 CGI CGI全称是“公共网关接口”(Common Gateway Interface)，HTTP服务器与你的或其它机器上的程序进行“交谈”的一种工具，其程序须运行在网络服务器上

网站经常出现链接数据库错误，当然原因很简单，卡着了。查看宝塔面板发现负载状态经常是100%，内存使用率也是100%，CPU也不用说了，所以在网上查找了一些关于降低宝塔面板服务器内存和CPU使用率的方法，现在将我使用的一个非常有效的方法分享给大家，希望对大家有用。 首先进入宝塔面板，然后打开软件管理，找到你正在使用的php版本，然后点开该版本的php设置 点开设置后，在弹出的php设置弹出页面做点击

最近，WordPress 技术群有小伙伴问 Redis 内存缓存如何启用？虽然我一直参考 WordPress 官方优化方式，但是发现部分 WordPress 托管的站点同样无法使用 Memcached 内存缓存，所以今天就写个在宝塔控制面板下启用 Redis 内存缓存对 WordPress 网站进行优化加速的教程。 1、宝塔安装Redis环境 首先在宝塔控制面板的软件商店中（应用分类中的运行环境一

如何进入PHP参数的设置面板呢？ 如图（4-2-1）我们进入宝塔面板后台，找到软件商店，通过步1所示的应用搜索或直接找到要设置参数的php版本，我们以php7.2为例，点击步2所指向的 设置 菜单，进入php参数设置面板。 1、PHP扩展的几点建议 如上图（4-2-2）所示，我们可以通过点击安装扩展Tab来打开php扩展管理页，选定你要使用的扩展，直接点操作项的安装即可快速安装php扩展应用。 P

开发软件：phpstorm PHP版本：7.4.33 xdebug版本：3.1.6 一、登录宝塔面板，找到“软件商店”-“已安装”选择你使用的php软件，然后点击设置（如下图）。 二、安装xdebug扩展（如下图）。 三、通过phpinfo()查看xdebug版本和是否安装成功。 四、继续打开第二步的设置界面，找到“配置文件”，在末尾处添加以下参数（如下图）。 [xdebug] xdebug.cl