php自写网站导航前后端源码带后台

小飞网络

之前写的是没有后台的前端页面 添加需要修改html代码
有兴趣的可以去看看纯前端页面https://www.52pojie.cn/thread-764646-1-1.html




终于把后台也写完了，在这个过程中，我测试注入过滤的时候，不小心把数据库给覆盖了，而且我没备份数据库，心态炸了。
要知道我不会python，导航的数据都是一条一条的插进去的，所以现在给你们的源码里面只有吾爱破解的网站链接，其他的都已经被覆盖成空值了。
更新内容：
1.后台登录限制错误次数，达到5次禁止登录。
2.js写的删除选中内容。
3.增加修改密码。
4.添加保存删除等内容。
5.对网站的id以及表单进行了过滤，做了基本的安全防护，当然高级的我也不会。
6.还没想到。

前端后端都是纯手工写 没有使用jq，全程都是JavaScript，主要是我JavaScript还没学完，哈哈哈哈。
另外后台没有写自适应了。接下来一起看看吧。


前端页面采用自适应


手机页面

这是后台登录界面

看看登录动态图


以及登录限制

批量删除

添加链接

其他的自行测试哟
使用方法 ：1.修改conn/conn.php里的数据库配置文件，修改成你自己的数据库。
                    2.导入yiqi.sql数据库文件。
                    3.上传到服务器即可。
对了 管理员默认密码应该是 123456 或者123123 我忘记了 哈哈哈哈哈 账号是admin
不是要从这里得到什么，而是要从这里学到什么，欢迎交流学习。给点免费的评分吧啊哈哈哈。
源码下载地址：https://www.lanzouj.com/i1f7jxa 密码:cney

eing888

导入出现错误

导入成功，执行了 30 个查询。 (yiqi.sql)
错误
静态分析：

分析时发现1个错误。

Unrecognized statement type. (near "Host" at position 0)
SQL 查询：

Host: localhost (Version: 5.5.53) /*!40101 SET NAMES utf8 */

MySQL 返回： 文档

#1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'Host: localhost  (Version: 5.5.53)

/*!40101 SET NAMES utf8 */' at line 1

502613903

@小飞网络
下载下来审计了一下代码，发现一处安全问题
HTTP referer可伪造，并没有对获取ip参数进行过滤
从而引发了后台登录处insert盲注

简单验证：
简单的在本地进行搭建
通过X-Forwarded-For进行构造注入语句
获取表名
X-Forwarded-For:188.155.16.1' and payload and '1'='1
通过dnslog进行回显快速



可以看到获取了表名yiqi_user
去phpmyadmin查看
有此表


修复方案：
你比我更懂

坐久落花多

谢谢分享
相当不错的前端设计和后台管理

ccbynow

然鹅并没有什么卵用

素问何问

不错不错

鹏优CX-5

我就不下载了，你辛苦了昂

wojaiyh

支持了 谢谢分享~！·

qiangcxq

不错不错

小飞网络

502613903 发表于 2018-7-16 16:14
@小飞网络
下载下来审计了一下代码，发现一处安全问题
HTTP referer可伪造，并没有对获取ip参数进行过滤 ...

哈哈哈 很棒 知道啦 谢谢