sky123's site

FlaskFlask 是一个 轻量级的 Python Web 框架，以“微内核 + 扩展”的理念著称。它本身只提供 路由、请求/响应、模板渲染 等最核心功能，其他如数据库、认证、表单校验、迁移、缓存等都通过 扩展（extensions） 来按需拼装。 核心组件： Werkzeug：WSGI 工具集（请求与响应、路由、调试器）。 Jinja2：模板引擎（HTML 渲染）。 Flas...

Python 基础知识Python 程序结构模块（Module）在 Python 中模块（Module）就是一个 .py 文件。当你 import 它时，Python 会先运行一次这个文件里的代码，然后把运行结果打包成一个模块对象。这个模块对象里保存了你在文件里定义的变量、函数和类，这个保存空间就是它的命名空间（其实就是一个字典，键是名字，值是对象）。 Python 会把这个模块对象存到一个...

在 Python 里，pickle 是一个用于 序列化（serialize） 和 反序列化（deserialize） Python 对象的模块。 序列化（pickling）：把内存中的 Python 对象转成字节串，方便存盘、传输、缓存。 反序列化（unpickling）：把字节串还原回等价的 Python 对象。 它不仅能保存基础类型（int/str/list&#x...

PHP 原生类利用PHP 原生类指的是 PHP 自带提供、无需用户定义、通常由 PHP 内核或扩展模块实现的类。我们可以通过 get_declared_classes() 函数获取当前脚本中所有已经定义的类的名称，然后枚举其中所有的魔术方法。 12345678910111213141516171819202122232425262728293031323334<?php// 获取当前已...

SSTI（服务器端模板注入） 是一种攻击方式。攻击者通过控制输入，将恶意“模板语法”注入到后端模板引擎中，使模板引擎在渲染页面时执行这些恶意语句，从而造成信息泄露、权限绕过，甚至远程代码执行（RCE）。 模板引擎（Template Engine） 是一个用于生成动态 HTML 的系统。，开发者可以在其中使用变量、控制语句（如 if、for）、函数、过滤器等来生成网页内容，而无需在 HTML...

PHP 弱类型PHP 是一种动态弱类型语言，这意味着： 变量不需要事先声明类型，可以在运行时自动改变类型。 不同类型的数据在比较、运算时会被自动转换为合适的类型（即“类型模糊”）。 类型判断常用的类型判断方式主要有下面几种： empty($x)：判断变量是否为“空”值，如 ""、"0"、0、false、null、空数组等都返回 true is_...

ThinkPHP 是中国开发者广泛使用的一款 开源 PHP 框架，由 TopThink 团队 开发，目标是让开发更快、更简单。它遵循 MVC（Model-View-Controller）设计模式，具有良好的代码组织、数据库操作封装、模板引擎等特性。 ThinkPHP 版本架构： 版本 状态 最低 PHP 说明 8.x 最新稳定，官方推荐 ≥ PHP 8.1 全面 PSR 标准、强...

Here’s something encrypted, password is required to continue reading.

常用工具PHPStormPHPStorm 是一款优秀的 IDE，方便审计调试代码。直接在 Windows 上装一个，调试就远程调试即可。 PHPStudy通常配置 WEB 环境是一个非常繁琐的过程，但是 PHPStudy 内置了很多自动化的脚本将这个过程变得比较方便，这样我们就可以把主要精力放在审计代码上了。 软件安装Windows 平台Windows 版直接下载安装即可。 Linux 平台...

Here’s something encrypted, password is required to continue reading.