小松聊PHP进阶

[置顶] 深入理解Laravel(CVE-2021-3129)RCE漏洞(超2万字从源码分析黑客攻击流程)

摘要：背景近期查看公司项目的请求日志，发现有一段来自俄罗斯首都莫斯科（根据IP是这样，没精力溯源）的异常请求，看传参就能猜到是EXP攻击，不是瞎扫描瞎传参的那种。日志如下（已做部分修改）： [2023-11-17 23:54:34] local.INFO: url : http://xxx/_ignit 阅读全文

posted @ 2023-11-21 02:09 小松聊PHP进阶阅读(1483) 评论(0) 推荐(0)

2025年5月13日

Windows资源管理器漏洞复现与研究(CVE-2025-24071和CVE-2025-24054)

摘要：没有绝对安全的系统近期又发现Windows7、8、10、11、Server平台的通用漏洞：攻击者发给你一个文本文件，甚至都不用打开，就可能中招。下班后写写技术博客，分享给各位。该漏洞攻击隐蔽性非常高，攻击期间用户毫无感知，并且属于EXP方式的攻击，对杀毒软件就是降维打击，经过实测7款主流杀毒软件阅读全文

posted @ 2025-05-13 01:27 小松聊PHP进阶阅读(488) 评论(0) 推荐(0)

2025年5月5日

PHP CGI远程代码执行高危漏洞(CVE-2024-4577)复现与源码分析

摘要：五一假期，偶然间刷到了这个漏洞，我用shodan和钟馗之眼做了资产扫描，发现大量有使用XMAPP的用户，并且攻击成本并不高，危害却很大。中国工程院院士邬贺铨曾说过：“网络安全永远在路上，那么总是要不断在完善，可以说见招拆招”。漏洞评分达到了惊人的9.8，这篇文章必须写。漏洞影响力用户众多：经阅读全文

posted @ 2025-05-05 01:27 小松聊PHP进阶阅读(2057) 评论(0) 推荐(0)

2025年3月24日

5千字总结冷门的MySQL虚拟字段（虚拟列）

摘要： MySQL虚拟字段，因不是必用且耗算力。所以是冷门的存在，很多开发者都会忽略它。当然存在就有价值，花时间整理了相关知识点。 MySQL虚拟字段（或叫虚拟列）官方文档：https://dev.mysql.com/doc/refman/8.0/en/create-table-generated-col 阅读全文

posted @ 2025-03-24 01:18 小松聊PHP进阶阅读(296) 评论(0) 推荐(0)

2025年2月4日

万字总结PHP与JavaScript、PHP与PHP 实现开箱即用的AES、RSA和较为安全的自定义加解密算法

摘要：实操（下方有理论）没有绝对安全的系统对于前后端通信安全的声明：对于前端，网页代码是暴漏给用户的，用户可以任意摆布，可以反编译混淆过的代码，也可以调试、研究代码去攻破，因此不能保证百分百的安全，能做的仅仅是让攻击者增加攻击成本。明文硬编码漏洞：如果是硬编码，把key，secret等明文暴漏，写死阅读全文

posted @ 2025-02-04 11:15 小松聊PHP进阶阅读(362) 评论(0) 推荐(0)

2025年1月8日

写一个支持折叠、有缩进、代码高亮、离线的，方便部署的、易用的、优雅的json格式化查看工具（附html完整代码）

摘要：缘由网上的在线json格式化有很多，但我是个有追求的人。在线的很难同时支持折叠、有缩进线、代码高亮、离线的，方便部署的、易用的、不请求后端（为了安全）的json格式化工具。去Github上找项目，华而不实的东西占半个屏幕，格式化json要点好几下，一个json格式化工具npm安装之后几百个文件。阅读全文

posted @ 2025-01-08 19:38 小松聊PHP进阶阅读(422) 评论(0) 推荐(0)

2025年1月1日

命令行命令纠错神器 The Fuck

摘要：理论源码与官方文档GitHub地址：https://github.com/nvbn/thefuck 极简概括：使用Python编写的、可扩展规则的、支持在Linux、MacOS上运行的命令行命令纠错工具，当前88.4K star。应用场景：命令行输错并按了回车，移动光标矫正嫌麻烦，生气了，于是输阅读全文

posted @ 2025-01-01 22:57 小松聊PHP进阶阅读(595) 评论(0) 推荐(0)

2024年12月25日

MySQL for update skip locked 与 for update nowait

摘要：理论（下方有实操） for update skip locked 官方文档：https://dev.mysql.com/doc/refman/8.0/en/innodb-locking-reads.html#innodb-locking-reads-for-update 语法：select语句后跟阅读全文

posted @ 2024-12-25 16:48 小松聊PHP进阶阅读(433) 评论(0) 推荐(0)

2024年9月3日

PHP批量修改MySQL数据表字符集为utf8mb4/utf8mb4_unicode_ci

摘要：编码大全可参考我之前的文章：快速理解ASCII、GBK、Unicode、UTF-8、ANSI 批量修改注意这是DDL操作，操作过程会锁表（元数据锁），平均1秒能够转码3张表（数据量不大）。亲测操作过后没有数据异常，推荐执行前备份。 //接手一些老项目，需要修改编码。 $host = ''; 阅读全文

posted @ 2024-09-03 09:54 小松聊PHP进阶阅读(131) 评论(0) 推荐(0)

2024年8月8日

快速理解并发量、吞吐量、日活、QPS、TPS、RPS、RT、PV、UV、DAU、GMV

摘要：并发与并行并发：由于CPU数量或核心数量不够，多个任务并不一定是同时进行的，这些任务交替执行（分配不同的CPU时间片，进程或者线程的上下文切换），所以是伪并行。并行：多个任务可以在同一时刻同时执行，通常需要多个或多核处理器，不需要上下文切换，真正的并行。并发量（Concurrency）概念：阅读全文

posted @ 2024-08-08 10:33 小松聊PHP进阶阅读(1222) 评论(0) 推荐(0)

2024年8月7日

拼音分词拆解算法（用于判断字符串是否是纯拼音构成，并分离出所有拼音，50行纯原生代码实现）

摘要：废话哔哔都说算法是程序的灵魂，算法源于数学，数学是描述宇宙万物的语言，这话一点不假，开发出身算法用的较少，回过头看算法，用到了，递归、循环、分支、分治、合并、取舍调优的思想，确实精彩，烧脑还挺有意思。好的技术博客必须有做到有No BB,Show Code的干货，也得有说明辅助理解，因此写了这篇博阅读全文

posted @ 2024-08-07 00:47 小松聊PHP进阶阅读(372) 评论(0) 推荐(1)

小松聊PHP进阶

公告