这是大白给粉丝朋友准备的网络安全零基础入门第八章PHP入门的知识章节里的环境搭建。
喜欢的朋友们,记得给大白点赞支持和收藏一下,关注我,学习黑客技术。
一、php简介
php定义:一种服务器端的 HTML脚本/编程语言,是一种简单的、面向对象的、解释型的、健壮的、安全的、性能非常高的、独立于架构的、可移植的、动态的脚本语言。是一种广泛用于Open Source(开放源代码)的尤其适合web开发并可以嵌入HTML的多用途脚本语言。它的语法接近C,java和Perl,而且容易学习。该语言让web开发人员快速的书写动态生成的网页。
php前身:Personal HomePage,个人主页
php现在:PHP Hypertext Preprosessor ,php超文本预处理器
平台支持:(windows ,Linux,UNIX)
数据库支持(Sqlserver,mysql,Oracle,Access)
二、静态网站与动态网站的区别
网站
Website的中文名称是网站,是指在互联网上,根据一定的规则,使用HTML、PHP等代码语言制作的用于展示特定内容的相关网页的集合,有可提供管理人员操作的后台及用户使用的前台。简单地说,Website是一种通讯工具,就像布告栏一样,人们可以通过Website来发布自己想要公开的资讯,或者利用Website来提供相关的网络服务。人们可以通过网页浏览器来访问Website,获取自己需要的资讯或者享受网络服务。
web1.0:静态网站
1.网页内容一经发布到网站服务器上,无论是否有用户访问,每个静态网页的内容都是保存在网站服务器上的,也就是说,静态网页是实实在在保存在服务器上的文件,每个网页都是一个独立的文件。
2.静态网页的内容相对稳定,因此容易被搜索引擎检索。
3.静态网页没有数据库的支持,在网站制作和维护方面工作量较大,因此当网站信息量很大时完全依靠静态网页制作方式比较困难。
4.静态网页的交互性较差,在功能方面有较大的限制。
web2.0:动态网站
1.交互性:网页会根据用户的要求和选择而动态的改变和响应,浏览器作为客户端,成为一个动态交流的桥梁,动态网页的交互性也是今后web发展的潮流。
2.自动更新:即无需手动更新HTML文档,便会自动生成新页面,可以大大节省工作量。
3.因时因人而变:即当不同时间、不同用户访问同一网址时会出现不同页面。
此外动态网页是与静态网页相对应的,也就是说,网页URL的后缀不是.htm、.html、.shtml、.xml等静态网页的常见形式,而是以.asp、.jsp、.prel、.cgi等形式为后缀。在动态网页网址中有一个标志性的符号--“?”
三、网站基本概念
1.服务器概念
服务器(server),也称伺服器,是提供计算服务的设备。由于服务器需要响应服务请求,并进行处理,因此一般来说服务器应具备承担服务并且保障服务的能力。
服务器的构成包括处理器、硬盘、内存、系统总线等,和通用的计算机架构类似,但是由于需要提供可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
在网络环境下,根据服务器提供的服务不同,分为文件服务器,数据库服务器,应用程序服务器,WEB服务器等。
服务器:能够提供服务的机器,取决于机器上所安装的软件(服务软件)
web服务器:提供web服务(网站访问),就需要安装web服务软件,Apache,tomcat,iis等
2.IP的概念
IP:Internet Protocol,网络之间互联协议。网络之间互连的协议也就是为计算机网络相互连接进行通信而设计的协议。在因特网中,它是能使连接到网上的所有计算机网络实现相互通信的一套规则,规定了计算机在因特网上进行通信时应当遵守的规则。任何厂家生产的计算机系统,只要遵守IP协议就可以与因特网互连互通。IP地址具有唯一性。
3.域名
域名(Domian Name),是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时标识计算机的电子方位(有时也指地理位置,地理上的域名,指代有行政自主权的一个地方区域)。域名是一个IP地址上有“面具”。一个域名的目的是便于记忆和沟通的一组服务器的地址(网站,电子邮件,FTP等)。域名作为力所能及难忘的互联网参与者的名称。
特殊的IP:127.0.0.1 代表本机
特殊域名:localhost 代表本机
4.DNS
DNS(Domain Name System,域名系统),因特网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。通过主机名,最终得到该主机名对应的IP地址的过程叫做域名解析(或主机名解析)。
5.HOSTS
本地域名解析,用户计算机第一个访问的域名系统。如果在本地直接能够解析,就不再访问网络DNS。
6.端口
端口(Port),可以认为是设备与外界通讯交流的出口,端口可分为虚拟端口和物理端口,其中虚拟端口指计算机内部或交换机路由器内的端口,不可见。例如计算机中的80端口、21端口、23端口等。物理端口又称接口,是可见端口,计算机背板的RJ45网口,交换机路由器集线器等RJ45端口。
用户输入域名 localhost:端口——>DNS(localhost 127.0.0.1)——>服务器电脑——>软件(服务)
Web程序的访问流程
web分为两类:静态网站和动态网站
浏览器发起访问——>DNS解析域名——>服务器电脑——>服务软件
静态网站访问:
动态网站访问
动态网站访问流程和静态差不多,但是会多出几个内容:服务器端解析、数据库
四、安装Apache
1.下载
下载地址Apache官网
双击安装即可,指定对应路径:E:server/Apache ,点击next。
2.apache目录结构说明
3.httpd.exe的详细应用
-
服务器进程,运行之后才能工作
-
用来查看Apache具体有哪些功能以及配置文件是否出错:httpd或者httpd.exe(文件所在目录)
-
查看使用的模块:httpd -M
-
-
验证配置文件是否有效:httpd -t
4.配置默认站点
1.让Apache确定服务器上访问的位置:网站文件夹所在的位置
httpd.conf:DocumentRoot
2.方便用户使用名字访问对应的网站:给文件夹对应的取一个别名
httpd.conf:ServerName
端口可以单独实现:httpd.conf:listen
3.凡是涉及到Apache配置文件的修改,那么需要重启Apache才能生效
4.实现DNS域名解析:通常默认站点都是本地DNS:hosts文件
五、安装配置PHP
1.安装php语言
1.获取php安装文件,建议去php官网
2.php的目录结构说明
3.php.exe的应用
php.exe就是可以解析PHP代码转变成HTML代码从而让浏览器可以解析
1.通过cmd控制器进入到php.exe所在的目录
2.通过php.exe运行命令来指定要解析的PHP脚本就可以 :php.exe -f 文件所在路径
六、配置Apache加载php
1、Apache加载PHP模块:在Apache的主配置文件中加载对应的PHP提供的模块
Apache主配置文件:httpd.conf:LoadModule
#加载PHP``LoadModule php5_module 'E:/server/php/php5
2、加载php配置文件
将PHP的配置文件加载到Apache配置文件中,共同生效
在Apache中指定PHP配置文件路径
PHPIniDir php.ini所在的路径
php.ini文件默认是不存在的,是以development和production格式存在,需要格式化(复制一份development,更名为php.ini)
#加载php配置文件``PHPIniDir 'E:/server/php5'
3、Apache分配工作给PHP模块:如果是PHP代码就交给PHP处理:文件后缀判断 .php结尾肯定是PHP代码。
#分配给PHP``AddType application/x-httpd-php .php
注意:PHP的配置文件已经加入到Apache的配置项中,意味着php.ini的修改需要Apache重启才能生效。
七、安装与配置MySQL
1.安装MySQL软件
获取MySQL安装软件,MySQL下载地址
下载完成后双击安装
选择Custom自定义安装
选择软件安装路径:server/mysql
选择数据安装路径:server/mysql/data
在完成安装之后要实现配置
选择详细配置(默认的)
选择开发环境
选择多功能
并发设置(建议手动)
配置访问环境
字符集设定:通用字符集
服务安装:将MySQL作为Windows下的一个服务启动
输入root(超级管理员)的密码
等待配置,4个都要勾上
2.MySQL的目录结构说明
3.bin目录的常用命令
软件设计架构:C/S和B/S
C/S:Client客户端/Server服务端,用户需要安装客户端产品爱能访问服务器,而且只能访问一种软件(当前自己)
B/S:Browser浏览器/Server服务端,用户只需要安装浏览器,就可以访问所有的服务器(B/S架构服务)
4.MySQL访问流程
mysql是一款C/S架构的软件,需要通过客户端来访问服务端(MySQL提示也提供了其他模式的访问:通过一些插件来充当客户端)
1.启用MySQL客户端:mysql.exe,该软件本身可以通过CMD控制台运行
本身的客户端
mysql.exe通过cmd运行
2.MySQL客户端访问服务端需要进行寻找匹配:连接认证
连接:IP和端口确认,如果是本地都可以省略
-h 主机地址—> -hlocalhost(可以是IP)
-p 端口----> -p3306
认证:通过用户名和密码进入服务器
-u 用户名—>-uroot,不可用省略(匿名用户除外)
-p 密码---->-proot
退出命令:\q
注意:通常连接认证的时候密码不建议明文,可以在输入-p之后回车,系统会再次输入密码,这个时候就是密文。
八、PHP连接mysql数据库
PHP本身不具备操作MySQL数据库的能力,需要借助PHP操作MySQL的扩展来实现
PHP加载MySQL扩展:php.ini文件中
PHP中所有的扩展都是在ext文件夹中,需要指定扩展所在路径:extension_dir
php.ini已经被Apache加载,所以需要重启才会生效
设置PHP的系统时区
通过php.ini中的timezone配置项来实现
date.timezone = PRC
九、配置虚拟主机
一台服务器很贵,如果只能部署一个网站,那么非常浪费,所以需要通过其他渠道来实现一台主机上部署多个网站。
虚拟主机:Virtual machine ,并不存在真实的主机,但是可以提供真实主机所实现的功能。
通俗的讲,虚拟主机就是将计算机中不同的文件夹进行不同的命名,然后可以实现让服务器(Apache)根据用户的需求从不同的文件夹(网站)中读取不同的内容。
在Apache中,可以将虚拟主机分成两类:
1.基于IP的虚拟主机:一台电脑上有多个IP,每个IP对应一个网站
原理:电脑默认只有一个IP,因为通常只配有一个网卡,但是有的电脑(服务器居多)可以配置多个网卡,每个网卡可以绑定一个IP地址。
2.基于域名的虚拟主机:一台电脑上只有一个IP,但是IP下可以制作多个网站,但是需要给每个网站不同的名字(虚拟主机名)
搭建基于域名的虚拟主机
在Apache中,虚拟主机的搭建有两种方式:
1.在主配置文件中搭建:需要手动开启虚拟主机(基于域名)
NameVirtualHost *:80
2.在专门的虚拟主机配置文件中配置
2.1在主配置文件中加载虚拟主机配置文件:虚拟主机配置文件已经开启了虚拟主机NameVirtualHoat
2.2虚拟主机配置文件中配置虚拟主机
①增加一个对应的站点文件夹位置:DocumentRoot
②增加主机名字:文件夹的别名:ServerName
③增加域名解析DNS:hosts
④需要给当前设定的站点(目录)访问权限
<Directory '站点目录'>
#设定方式:代表匹配权限的顺序
Order Deny,Allow //没有顺序关系,实际顺序有意义
#限定范围:按照顺序执行
Deny from 指定的范围
Allow from 指定的范围/all
</Directory>
⑤配置访问列表:当访问是一个目录时候(没有指定具体要访问的文件)
Options Indexes[FollowSymLinks],如果访问目录,那么列表显示所有的文件
<Directory '站点目录'>
#设定方式:代表匹配权限的顺序
Order Deny,Allow //没有顺序关系,实际顺序有意义
#限定范围:按照顺序执行
Deny from 指定的范围
Allow from 指定的范围/all
#列表显示(开发环境)
Options Indexes FollowSymLinks
</Directory>
⑥当用户访问指定目录不指定文件的时候,通常需要系统指定一个默认文件
DirectoryIndex 默认的文件列表,使用空格分离
<Directory '站点目录'>
#设定方式:代表匹配权限的顺序
Order Deny,Allow //没有顺序关系,实际顺序有意义
#限定范围:按照顺序执行
Deny from 指定的范围
Allow from 指定的范围/all
#列表显示(开发环境)
Options Indexes FollowSymLinks
#指定默认访问文件
DirectoryIndex index.html index.htm index.php
</Directory>
注意:如果说网站中整个网站根目录允许访问 ,但是其中还有其他文件夹不允许访问:可以增加多个Directory 标签,针对不同的文件夹
3.一旦启用虚拟主机配置文件,那么默认的主机地址localhost就不再生效,如果想要生效:为localhost增加单独的虚拟主机
网络安全学习路线&学习资源
网络安全的知识多而杂,怎么科学合理安排?
下面给大家总结了一套适用于网安零基础的学习路线,应届生和转行人员都适用,学完保底6k!就算你底子差,如果能趁着网安良好的发展势头不断学习,日后跳槽大厂、拿到百万年薪也不是不可能!
初级网工
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(一周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(一周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(一周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;如果等保模块学的好,还可以从事等保工程师。薪资区间6k-15k
到此为止,大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗?
7、脚本编程(初级/中级/高级)
在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力.
零基础入门,建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习; 搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP, IDE强烈推荐Sublime; ·Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完; ·用Python编写漏洞的exp,然后写一个简单的网络爬虫; ·PHP基本语法学习并书写一个简单的博客系统; 熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选); ·了解Bootstrap的布局或者CSS。
8、超级网工
这部分内容对零基础的同学来说还比较遥远,就不展开细说了,贴一个大概的路线。感兴趣的童鞋可以研究一下,不懂得地方可以【点这里】加我耗油,跟我学习交流一下。
网络安全工程师企业级学习路线
如图片过大被平台压缩导致看不清的话,可以【点这里】加我耗油发给你,大家也可以一起学习交流一下。
一些我自己买的、其他平台白嫖不到的视频教程:
需要的话可以扫描下方卡片加我耗油发给你(都是无偿分享的),大家也可以一起学习交流一下。
结语
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
特别声明:
此教程为纯技术分享!本书的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本书的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失!!!
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
