如何检查网站源码是不是有后门

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了如何检查网站源码是不是有后门相关的知识,希望对你有一定的参考价值。

从网上下了个网站源码
怕里边有后门被小黑挂上木马
所以需要检查下程序有没有后门
但是挨个看代码很麻烦
请问各位大大有虾米好办法米?
谢谢撒!

一,把网站源码放到空间里把网站建起来
二,百度搜 360网站安全检测,找到360用来检测网站的站
三,认证网站,提交网址
四,几分钟后就会帮你检测出网站的木马或漏洞了
五,当然了,免费源码漏洞肯有的,有些可能检不出来,他是属于程序员的经验不足造成的,还有的是黑客故意留的,明显的会检查出来,免费源码常理是不能用的,一是因为有版权问题,用了以后会有麻烦,另外还有安全隐患.别忘了放了这些源码的都是些什么人,他们让你用这些源码的目的.如果你是想正规做站,个人建议你还是去淘宝,200源码网,拍拍,A5论坛花几百元买些正品来用,注意是花几百元,不是几元几十元,因为那些几十元的大多也是免费的.
参考技术A 看里面有什么“IF...”什么的
鄙人忘了,不好意思。关键是没学过html语言。
其实哪个是链接的代码
参考技术B 无法

如何使用 PHP 检查远程文件是不是存在?

【中文标题】如何使用 PHP 检查远程文件是不是存在?【英文标题】:How can one check to see if a remote file exists using PHP?如何使用 PHP 检查远程文件是否存在? 【发布时间】:2010-11-02 04:32:53 【问题描述】:

我能找到的最好的,iffclosefopen 类型的东西,使页面加载非常缓慢。

基本上我要做的是:我有一个网站列表,我想在它们旁边显示他们的网站图标。但是,如果网站没有,我想用另一张图片替换它,而不是显示损坏的图片。

【问题讨论】:

我认为您可以使用 CURL 并检查其返回码。但如果是速度问题,那就离线做缓存。 是的,但我仍然建议使用离线脚本(从 cron 运行)来解析网站列表,检查他们是否有网站图标并为前端缓存该数据。如果你不/不能使用 cron,至少缓存你检查的每个新 URL 的结果。 要在浏览器中用占位符图像替换损坏的图像,请考虑使用图像的onerror 的客户端解决方案,例如a solution using jQuery PHP: How to check if image file exists?的可能重复 【参考方案1】:

您可以通过 CURLOPT_NOBODY 指示 curl 使用 HTTP HEAD 方法。

或多或少

$ch = curl_init("http://www.example.com/favicon.ico");

curl_setopt($ch, CURLOPT_NOBODY, true);
curl_exec($ch);
$retcode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
// $retcode >= 400 -> not found, $retcode = 200, found.
curl_close($ch);

无论如何,您只节省了 HTTP 传输的成本,而不是 TCP 连接的建立和关闭。由于网站图标很小,您可能看不到多少改进。

如果结果太慢,在本地缓存结果似乎是个好主意。 HEAD 检查文件的时间,并在标题中返回它。您可以像浏览器一样获取图标的 CURLINFO_FILETIME。 在您的缓存中,您可以存储 URL => [ favicon, timestamp ]。然后,您可以比较时间戳并重新加载网站图标。

【讨论】:

请注意:retcode 在所有 400 个代码上都有错误,因此验证将是 >= 而不仅仅是 > 如果您不提供用户代理字符串,某些网站会阻止访问,因此我建议您按照本指南在 CURLOPT_NOBODY 之外添加 CURLOPT_USERAGENT:davidwalsh.name/set-user-agent-php-curl-spoof @Lyth 3XX 重新编码不是错误,而是重定向。这些应该手动处理或使用 CURLOPT_FOLLOWLOCATION。 使用 curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);还要确保相同的代码适用于以 HTTPS 开头的 URL!【参考方案2】:

正如 Pies 所说,您可以使用 cURL。您可以让 cURL 只为您提供标题,而不是正文,这可能会使其更快。一个坏的域可能总是需要一段时间,因为您将等待请求超时;您可能可以使用 cURL 更改超时长度。

这是一个例子:

function remoteFileExists($url) 
    $curl = curl_init($url);

    //don't fetch the actual page, you only want to check the connection is ok
    curl_setopt($curl, CURLOPT_NOBODY, true);

    //do request
    $result = curl_exec($curl);

    $ret = false;

    //if request did not fail
    if ($result !== false) 
        //if request was ok, check response code
        $statusCode = curl_getinfo($curl, CURLINFO_HTTP_CODE);  

        if ($statusCode == 200) 
            $ret = true;   
        
    

    curl_close($curl);

    return $ret;


$exists = remoteFileExists('http://***.com/favicon.ico');
if ($exists) 
    echo 'file exists';
 else 
    echo 'file does not exist';   

【讨论】:

remoteFileExists('***.com/') 这也将返回 true,但它只是一个链接。此函数不检查链接内容类型是文件。【参考方案3】:

CoolGoose 的解决方案很好,但对于大文件来说更快(因为它只尝试读取 1 个字节):

if (false === file_get_contents("http://example.com/path/to/image",0,null,0,1)) 
    $image = $default_image;

【讨论】:

+1。这个解决方案相对于 CURL 有什么缺点吗? 你可以直接使用fopen——如果请求返回码是404,fopen返回false。 这真的很慢,对我不起作用(这意味着如果文件路径不正确,它仍然会显示损坏的图像) 如果服务器在图像或文件不存在时进行重定向,则此方法不起作用。当网站使用 mod_rewrite 或其他某种“规则”如何处理请求时,就会发生这种情况。【参考方案4】:

这不是对您最初问题的回答,而是一种更好的方式来做您想做的事情:

而不是实际尝试直接获取网站的 favicon(考虑到它可能是 /favicon.png、/favicon.ico、/favicon.gif 或什至 /path/to/favicon.png,这是一种皇家痛苦),使用谷歌:

<img src="http://www.google.com/s2/favicons?domain=[domain]">

完成。

【讨论】:

语法有点混乱。所以这里有一个例子:google.com/s2/favicons?domain=***.com">【参考方案5】:

投票最多答案的完整功能:

function remote_file_exists($url)

    $ch = curl_init($url);
    curl_setopt($ch, CURLOPT_NOBODY, 1);
    curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1); # handles 301/2 redirects
    curl_exec($ch);
    $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
    curl_close($ch);
    if( $httpCode == 200 )return true;


你可以这样使用它:

if(remote_file_exists($url))

    //file exists, do something

【讨论】:

哦!最近几天我一直不在,但本月初几乎是 24/7。谢谢你告诉我! 如果服务器没有响应任何 HTTP 代码(或者 cUrl 没有捕获它),这将不起作用。这经常发生在我身上。例如。如果是图像。 如果 url 被重定向到另一个 URL 或 https 版本怎么办?在这种情况下,这个 curl 代码将无法完成这项工作。最好的方法是获取标题信息并搜索不区分大小写的字符串“200 ok”。 @Infoconic 您可以添加curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);。我已经更新了处理 302 重定向的答案。【参考方案6】:

如果您正在处理图像,请使用 getimagesize。与 file_exists 不同,此内置函数支持远程文件。它将返回一个包含图像信息(宽度、高度、类型等)的数组。您所要做的就是检查数组中的第一个元素(宽度)。使用 print_r 输出数组的内容

$imageArray = getimagesize("http://www.example.com/image.jpg");
if($imageArray[0])

    echo "it's an image and here is the image's info<br>";
    print_r($imageArray);

else

    echo "invalid image";

【讨论】:

远程资源不可用时导致 404 警告。目前,我通过在getimagesize 前面使用@ 来抑制错误来处理它,但对这种hack 感到内疚。 就我而言,这是最好的方法,因为只要图像/文件不存在,我就会被重定向。我认为使用 @ 抑制错误是不行的,但在这种情况下它是必要的。 我发现我们也可以使用exif_imagetype,而且速度更快***.com/a/38295345/1250044【参考方案7】:
if (false === file_get_contents("http://example.com/path/to/image")) 
    $image = $default_image;

应该工作;)

【讨论】:

函数前加@【参考方案8】:

这可以通过获取 HTTP 状态代码(404 = 未找到)来完成,这可以通过 file_get_contentsDocs 使用上下文选项来实现。以下代码将重定向考虑在内,并将返回最终目的地的状态代码 (Demo):

$url = 'http://example.com/';
$code = FALSE;

$options['http'] = array(
    'method' => "HEAD",
    'ignore_errors' => 1
);

$body = file_get_contents($url, NULL, stream_context_create($options));

foreach($http_response_header as $header)
    sscanf($header, 'HTTP/%*d.%*d %d', $code);

echo "Status code: $code";

如果你不想跟随重定向,你可以这样做(Demo):

$url = 'http://example.com/';
$code = FALSE;

$options['http'] = array(
    'method' => "HEAD",
    'ignore_errors' => 1,
    'max_redirects' => 0
);

$body = file_get_contents($url, NULL, stream_context_create($options));

sscanf($http_response_header[0], 'HTTP/%*d.%*d %d', $code);

echo "Status code: $code";

使用的一些函数、选项和变量在我写的博客文章中有更详细的解释:HEAD first with PHP Streams。

【讨论】:

相关:PHP: get_headers set temporary stream_context 相关:What is the best way to check if a URL exists in PHP?(2010 年 12 月 14 日) 有关 PHP 的 $http_response_header 的更多信息,请参阅 php.net/manual/en/reserved.variables.httpresponseheader.php。 第二个变体对我有用,与默认的 file_get_contents 调用(没有自定义 stream_context)相比,它快了 50%,即请求从 3.4 秒到 1.7 秒。 @ErikČerpnjak:如果没有“自定义”stream_context,它是默认的。您可以从默认上下文中获取选项,并查看它们与您的自定义上下文有何不同。这应该让您了解为什么时间不同。 - php.net/stream-context-get-default 和 php.net/stream-context-get-options【参考方案9】:

如果出于安全原因将 allow_url_fopen 设置设置为关闭,PHP 的内置函数可能无法用于检查 URL。Curl 是一个更好的选择,因为我们不需要更改我们的后期代码。下面是我用来验证有效 URL 的代码:

$url = str_replace(' ', '%20', $url);
$ch = curl_init($url);
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false); 
curl_setopt($ch, CURLOPT_NOBODY, true);
curl_exec($ch);
$httpcode = curl_getinfo($ch, CURLINFO_HTTP_CODE);  
curl_close($ch);
if($httpcode>=200 && $httpcode<300)  return true;  else  return false;  

请注意 CURLOPT_SSL_VERIFYPEER 选项,该选项还可以验证 URL 是否以 HTTPS 开头。

【讨论】:

【参考方案10】:

要检查图像是否存在,exif_imagetype 应该优先于 getimagesize,因为它更快。

要禁止 E_NOTICE,只需添加错误控制运算符 (@)。

if (@exif_imagetype($filename)) 
  // Image exist

作为奖励,使用来自exif_imagetype 的返回值 (IMAGETYPE_XXX),我们还可以使用image_type_to_mime_type / image_type_to_extension 获得 mime 类型或文件扩展名。

【讨论】:

【参考方案11】:

一个激进的解决方案是将网站图标显示为默认图标上方的 div 中的背景图像。这样一来,所有开销都将放在客户端上,同时仍然不显示损坏的图像(在所有浏览器 AFAIK 中都会忽略丢失的背景图像)。

【讨论】:

+1 如果您没有检查多个位置的网站图标(favicon.ico、favicon.gif、favicon.png),这似乎是最好的解决方案【参考方案12】:
function remote_file_exists($url)
   return(bool)preg_match('~HTTP/1\.\d\s+200\s+OK~', @current(get_headers($url)));
  
$ff = "http://www.emeditor.com/pub/emed32_11.0.5.exe";
    if(remote_file_exists($ff))
        echo "file exist!";
    
    else
        echo "file not exist!!!";
    

【讨论】:

【参考方案13】:

您可以使用以下内容:

$file = 'http://mysite.co.za/images/favicon.ico';
$file_exists = (@fopen($file, "r")) ? true : false;

在尝试检查 URL 上是否存在图像时为我工作

【讨论】:

【参考方案14】:

这对我来说可以检查 PHP 中是否存在远程文件:

$url = 'https://cdn.sstatic.net/Sites/***/img/favicon.ico';
    $header_response = get_headers($url, 1);

    if ( strpos( $header_response[0], "404" ) !== false ) 
        echo 'File does NOT exist';
         else 
        echo 'File exists';
        

【讨论】:

【参考方案15】:

你可以使用:

$url=getimagesize(“http://www.flickr.com/photos/27505599@N07/2564389539/”);

if(!is_array($url))

   $default_image =”…/directoryFolder/junal.jpg”;

【讨论】:

【参考方案16】:

您应该发出 HEAD 请求,而不是 GET 请求,因为您根本不需要 URI 内容。正如 Pies 上面所说,您应该检查状态代码(在 200-299 范围内,您可以选择遵循 3xx 重定向)。

答案问题包含许多可能有用的代码示例:PHP / Curl: HEAD Request takes a long time on some sites

【讨论】:

【参考方案17】:

还有一个更复杂的选择。您可以使用 JQuery 技巧检查所有客户端。

$('a[href^="http://"]').filter(function()
     return this.hostname && this.hostname !== location.hostname;
).each(function() 
    var link = jQuery(this);
    var faviconURL =
      link.attr('href').replace(/^(http:\/\/[^\/]+).*$/, '$1')+'/favicon.ico';
    var faviconIMG = jQuery('<img src="favicon.png"  />')['appendTo'](link);
    var extImg = new Image();
    extImg.src = faviconURL;
    if (extImg.complete)
      faviconIMG.attr('src', faviconURL);
    else
      extImg.onload = function()  faviconIMG.attr('src', faviconURL); ;
);

来自http://snipplr.com/view/18782/add-a-favicon-near-external-links-with-jquery/(原博客暂时下架)

【讨论】:

【参考方案18】:

这里所有使用 get_headers() 的答案都在执行 GET 请求。 仅执行 HEAD 请求会更快/更便宜。

要确保 get_headers() 执行 HEAD 请求而不是 GET,您应该添加以下内容:

stream_context_set_default(
    array(
        'http' => array(
            'method' => 'HEAD'
        )
    )
);

所以要检查文件是否存在,您的代码将如下所示:

stream_context_set_default(
    array(
        'http' => array(
            'method' => 'HEAD'
        )
    )
);
$headers = get_headers('http://website.com/dir/file.jpg', 1);
$file_found = stristr($headers[0], '200');

$file_found 显然会返回 false 或 true。

【讨论】:

【参考方案19】:

如果文件不是外部托管的,您可以将远程 URL 转换为网络服务器上的绝对路径。这样您就不必调用 CURL 或 file_get_contents 等。

function remoteFileExists($url) 

    $root = realpath($_SERVER["DOCUMENT_ROOT"]);
    $urlParts = parse_url( $url );

    if ( !isset( $urlParts['path'] ) )
        return false;

    if ( is_file( $root . $urlParts['path'] ) )
        return true;
    else
        return false;



remoteFileExists( 'https://www.yourdomain.com/path/to/remote/image.png' );

注意:您的网络服务器必须填充 DOCUMENT_ROOT 才能使用此功能

【讨论】:

【参考方案20】:

如果你使用的是 Laravel 框架或 guzzle 包,还有一个更简单的使用 guzzle 客户端的方法,它也可以在链接重定向时工作:

$client = new \GuzzleHttp\Client(['allow_redirects' => ['track_redirects' => true]]);
try 
    $response = $client->request('GET', 'your/url');
    if ($response->getStatusCode() != 200) 
        // not exists
    
 catch (\GuzzleHttp\Exception\GuzzleException $e) 
    // not exists

文档中的更多内容:https://docs.guzzlephp.org/en/latest/faq.html#how-can-i-track-redirected-requests

【讨论】:

【参考方案21】:

不知道当文件远程不存在时这个是否更快,is_file(),但你可以试一试。

$favIcon = 'default FavIcon';
if(is_file($remotePath)) 
   $favIcon = file_get_contents($remotePath);

【讨论】:

来自文档:“从 PHP 5.0.0 开始,此函数也可以与一些 URL 包装器一起使用。请参阅支持的协议和包装器以确定哪些包装器支持 stat() 系列功能。” 你的意思是如果你注册一个流包装器这可以工作吗?编辑您的问题以显示一个有效的示例,我将删除我的反对票(如果可以的话,请支持您)。但目前,我用远程文件从 php cli 测试了 is_file,结果为假。 无工作示例:var_dump(is_file('http://cdn.sstatic.net/***/img/sprites.png')); bool(false)【参考方案22】:

如果您使用的是 Symfony 框架,还有一种更简单的方法是使用 HttpClientInterface

private function remoteFileExists(string $url, HttpClientInterface $client): bool 
    $response = $client->request(
        'GET',
        $url //e.g. http://example.com/file.txt
    );

    return $response->getStatusCode() == 200;

HttpClient 的文档也非常好,如果您需要更具体的方法,也许值得研究:https://symfony.com/doc/current/http_client.html

【讨论】:

【参考方案23】:

您可以使用文件系统: 使用 Symfony\组件\文件系统\文件系统; 使用 Symfony\Component\Filesystem\Exception\IOExceptionInterface;

并检查 $fileSystem = 新文件系统(); if ($fileSystem->exists('path_to_file')==true) ...

【讨论】:

以上是关于如何检查网站源码是不是有后门的主要内容,如果未能解决你的问题,请参考以下文章

如何查看php源码中是不是有后门 知乎

php源码开源有没有可能做后门

请问怎样在php代码网站中找后门程序,都有哪些方法?

问一下asp 的 sql注入怎么办

网站被***怎么处理 phpstudy存在后门漏洞

如何通过JavaScript或者jQuery异步实现获取远程网页源码,例如按下按钮就显示某网站的源