从2000年10月20日发布的第一个Windows版的PHP3.0.17开始的都是线程安全的版本,这是由于与Linux/Unix系统是采用多进程的工作方式不同的是Windows系统是采用多线程的工作方式。如果在IIS下以CGI方式运行PHP会非常慢,这是由于CGI模式是建立在多进程的基础之上的,而非多线程。 一般我们会把PHP配置成以ISAPI的方式来运行,ISAPI是多线程的方式,这样就快多了。但存在一个问题,很多常用的PHP扩展是以Linux/Unix的多进程思想来开发的...
之前写过一个加解密的文章,也能凑合着使用, 现在为了安全, 用php写了一个triple des(3DES)的正反加解密函数. 3DES是公认的最安全的加密解密函数了,只是可惜的是php没有提供这样现成的函数,于是乎自己写了一个3DES版本的方法,3DES有很多版本,该版本采用的是ECB模式,用PKCS7补码,base64做密文,安全等级高,一般使用该函数只要修改其中的key即可. 测试:echo (des3crypt( “龙哥博客”,’ENCODE’));echo ““;echo (des3crypt( “bxC4...
在阅读PHP源码和学习PHP扩展开发的过程中,我接触到大量含有“TSRM”字眼的宏。通过查阅资料,知道这些宏与Zend的线程安全机制有关,而绝大多数资料中都建议按照既定规则使用这些宏就可以,而没有说明这些宏的具体作用。不知道怎么回事总是令人不舒服的,因此我通过阅读源码和查阅有限的资料简要了解一下相关机制,本文是我对研究内容的总结。本文首先解释了线程安全的概念及PHP中线程安全的背景,然后详细研究了PHP的线...
优良的PHP代码应该是结构化的。 优良的PHP代码应该是规范化的。 优良的PHP代码应该是自适应的。 优良的PHP代码应该是安全的。 PHP代码的优劣体现在哪里?Copy to Clipboard引用的内容:[www.bkjia.com] 1.未优化过的php代码 echo(”Search results for query: ” . $_GET['query'] . “.”); ?> 2.简单优化过的代码 echo(”Search results for query: ” . htmlspecialchars($_GET['query']) . &ldqu...
1、防止跳出web目录首先修改httpd.conf,如果你只允许你的php脚本程序在web目录里操作,还可以修改httpd.conf文件限制php的操作路径。比如你的web目录是/usr/local/apache/htdocs,那么在httpd.conf里加上这么几行:php_admin_value open_basedir /usr/local/apache/htdocs这样,如果脚本要读取/usr/local/apache/htdocs以外的文件将不会被允许,如果错误显示打开的话会提示这样的错误:Warning: open_basedir restriction in effe...
作为网站的所有者或从业者无不希望自己的网站可以安全的运营,然而很多时候网站开发时的一点小疏忽,很可能成为网站巨大的安全隐患。如今web开发的工具和语言有很多,PHP便是其中一种。PHP语言本身具有无可比拟的安全特征,但却没有引起广大网站开发者的重视。网站安全可以保证企业员工敏感数据的安全,甚至能有效的阻止服务器遭劫持等问题。以下笔者将对使用PHP开发时的几点建议和大家讨论,希望可以带给用户一些帮助。首先,最重...
中英结合的方式果然不错。我以前曾转载国人对于php安全编程的总结。有人说是老生长谈。这回看看外国朋友的作品。 据最新的调查,php语言的使用率竟超过了老牌语言c++,成为使用率第三位的编程语言。它有很多有用的功能,不过可能出现的问题也不少。这篇文章就列出了五条常用的建议以帮助你创造安全的php应用。 PHP is one of the most popular programming languages for the web. Sometimes a feature-friendly language can help...
PHP本身再老版本有一些问题,比如在 php4.3.10和php5.0.3以前有一些比较严重的bug,所以推荐使用新版。另外,目前闹的轰轰烈烈的SQL Injection也是在PHP上有很多利用方式,所以要保证安全,PHP代码编写是一方面,PHP的配置更是非常关键。我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置php.ini中的内容,让我们执行php能够更安全。整个PHP中的安全设置主要是为了防止phpshell和S...
这类漏洞,主要是可以读取用户传入路径名称,采用不正确的过滤方法,导致恶意用户,将文件上存到非预期的地方,带来安全隐患。其实,我们抓住几个地方即可,我们先来分析下,既然用户要上存文件,而且文件将是多种多样格式;可能有的文件内容与用户传入格式不一致,有的文件内容还夹杂木马代码。 那么,我们让用户上存文件,跟站点文件做一个分别授权,做隔离。让保存上存目录独立开来,目录权限只读不能执行 这一步从系统设计加以...
做web开发,我们经常会做代码走查,很多时候,我们都会抽查一些核心功能,或者常会出现漏洞的逻辑。随着技术团队的壮大,组员技术日益成熟。 常见傻瓜型SQL注入漏洞、以及XSS漏洞。会越来越少,但是我们也会发现一些新兴的隐蔽性漏洞偶尔会出现。这些漏洞更多来自开发人员,对一个函数、常见 模块功能设计不足,遗留下的问题。以前我们能够完成一些功能模块,现在要求是要安全正确方法完成模块才行。 接下来,我会分享一些常见功...
http://www.bkjia.com/PHPjc/440111.htmlwww.bkjia.comtruehttp://www.bkjia.com/PHPjc/440111.htmlTechArticle...
笔者长期以来一直做得工作基本上就是开发公司的PHP程序,另外维护几台CentOS服务器,在长时间的工作中总结了一套对付攻击的小手段,不敢藏私,分享给大家,希望大家喜欢!首先说一下服务器那边的设定状况好了,服务器在公司内部,一条光纤直接接入,有7个固定IP,每一台服务器均有自己的固定IP,另外每一台服務器均為雙網卡,除了有一個外網固定IP外還同屬於一個內網,这7个固定IP是通过一台带有路由功能的硬件防火墙进行分发的.硬件防火墙只对外...
php教程 判断文件上传类型与过滤不安全数据这函数 过滤不安全字符function s_addslashes($string, $force = 0) { if(!get_magic_quotes_gpc()) { if(is_array($string)) { foreach($string as $key => $val) { $string[$key] = s_addslashes($val, $force); } } else { $string=str_replace("&#x","& # x",$string); //过滤一些不安全字符 $string = addslashes($string); } } return $string;}实例:$_COOKIE = c_a...
多年来,PHP一直是一个稳定的、廉价的运行基于web应用程序的平台。像大多数基于web的平台一样,PHP也是容易受到外部攻击的。开发人员、数据库架构师和系统管理员在部署PHP应用程序到服务器之前都应该采取预防措施。大部分预防措施可以通过几行代码或者把应用程序设置稍作调整即可完成。1:管理安装脚本如果开发人员已经安装了一套第三方应用程序的PHP脚本,该脚本用于安装整个应用程序的工作组件,并提供一个接入点。大多数第三方软...
关于 Web 应用程序安全性,必须认识到的第一件事是不应该信任外部数据。外部数据(outside data) 包括不是由程序员在 PHP 代码中直接输入的任何数据。在采取措施确保安全之前,来自任何其他来源(比如 GET 变量、表单 POST、数据库、配置文件、会话变量或 cookie)的任何数据都是不可信任的。例如,下面的数据元素可以被认为是安全的,因为它们是在 PHP 中设置的。PHP安全防护清单 1. 安全无暇的代码< ?php $myUsername = ‘tmye...